otázky:

1. Metódy a prostriedky ochrany pred únikom dôverných informácií technickými kanálmi.

2. Vlastnosti softvérovo-matematického vplyvu vo verejných sieťach.

3. Ochrana informácií v lokálnych počítačových sieťach.

Literatúra:

1. Budnikov S.A., Parshin N.V. Informačná bezpečnosť automatizovaných systémov: Učebnica. príspevok - Voronež, TsPKS TZI, 2009.

2. Belov E.B. a kol Základy informačnej bezpečnosti: Učebnica. - M .: Horúca linka - Telecom, 2005.

3. Zapechnikov S.V. a iné Informačná bezpečnosť otvorených systémov. 1. časť: Učebnica pre vysoké školy. - M .: Horúca linka - Telecom, 2006.

4. Malyuk A.A. Informačná bezpečnosť: koncepčné a metodologické základy informačnej bezpečnosti: Učebnica pre vysoké školy. - M .: Horúca linka - Telecom, 2004.

5. Malyuk A.A., Pazizin S.V., Pogozhin N.S. Úvod do informačnej bezpečnosti v automatizovaných systémoch: Učebnica pre vysoké školy. - M .: Horúca linka - Telecom, 2004.

6. Khorev A.A. Ochrana informácií pred únikom cez technické kanály. - Vzdelávacie. príspevok. – M.: MO RF, 2006.

7. Zákon Ruskej federácie z 28. decembra 2010 č. 390 „O bezpečnosti“.

8. Federálny zákon z 27. júla 2006 č. 149-FZ „o informáciách, informačných technológiách a ochrane informácií“.

9. Dekrét prezidenta Ruskej federácie zo 6. marca 1997 č. 188 „O schválení zoznamu dôverných informácií“.

Internetové zdroje:

1. http://ict.edu.ru

1. Metódy a prostriedky ochrany pred únikom dôverných informácií cez technické kanály

Ochrana informácií pred únikom cez technické kanály je súbor organizačných, organizačných, technických a technických opatrení, ktoré vylučujú alebo oslabujú nekontrolované uvoľnenie dôverných informácií mimo kontrolovaného pásma.

1.1. Ochrana informácií pred únikom prostredníctvom vizuálno-optických kanálov

Na ochranu informácií pred únikom cez vizuálno-optický kanál sa odporúča:

· usporiadať predmety ochrany tak, aby sa vylúčil odraz svetla v smere možnej polohy narušiteľa (priestorové odrazy);

Znížiť reflexné vlastnosti predmetu ochrany;

Znížiť osvetlenie chráneného objektu (energetické obmedzenia);

používať prostriedky blokovania alebo výrazného tlmenia odrazeného svetla: clony, clony, závesy, okenice, tmavé sklá a iné blokovacie prostriedky, zábrany;

Používať prostriedky maskovania, napodobňovania a iné na ochranu a zavádzanie votrelca;

· používať prostriedky pasívnej a aktívnej ochrany zdroja pred nekontrolovaným šírením odrazeného alebo vyžarovaného svetla a iného žiarenia;

· vykonávať maskovanie predmetov ochrany, meniace sa reflexné vlastnosti a kontrast pozadia;

· je možné použiť maskovacie prostriedky na ukrytie predmetov vo forme aerosólových závesov a maskovacích sietí, farieb, prístreškov.

1.2. Ochrana informácií pred únikom cez akustické kanály

Hlavnými opatreniami pri tomto druhu ochrany sú organizačné a organizačné a technické opatrenia.

Organizačné opatrenia predpokladajú realizáciu architektonických a plánovacích, priestorových a citlivých akcií. Architektonické plánovanie opatrenia zabezpečujú predloženie určitých požiadaviek už v štádiu projektovania budov a priestorov alebo ich rekonštrukcií a úprav s cieľom vylúčiť alebo oslabiť nekontrolované šírenie zvukových polí priamo vo vzdušnom priestore alebo v stavebných konštrukciách vo forme 1/10 konštrukčného zvuku .

Priestorový požiadavky môžu zahŕňať tak výber umiestnenia priestorov v územnom pláne, ako aj ich vybavenie prvkami potrebnými na akustickú bezpečnosť s vylúčením priameho šírenia zvuku alebo odrazu smerom k možnému umiestneniu útočníka. Na tento účel sú dvere vybavené zádverím, okná sú orientované do územia chráneného (kontrolovaného) pred prítomnosťou neoprávnených osôb atď.

režimové opatrenia zabezpečiť prísnu kontrolu pobytu v kontrolovanom pásme zamestnancov a návštevníkov.

Organizačné a technické opatrenia navrhnúť pasívny(zvuková izolácia, zvuková pohltivosť) a aktívny(tlmenie zvuku) činnosti.

Nevylučuje použitie a technické opatrenia prostredníctvom použitia špeciálnych bezpečných prostriedkov na vedenie dôverných rokovaní (chránené reproduktorové systémy).

Na zistenie účinnosti ochrany pri použití zvukovej izolácie sa používajú zvukomery - meracie prístroje, ktoré premieňajú kolísanie akustického tlaku na hodnoty zodpovedajúce hladine akustického tlaku.

V prípadoch, keď pasívne opatrenia neposkytujú potrebnú úroveň bezpečnosti, používajú sa aktívne prostriedky. K aktívnym prostriedkom patria generátory šumu – technické zariadenia, ktoré produkujú elektronické signály podobné šumu. Tieto signály sa privádzajú do príslušných akustických alebo vibračných prevodníkov. Akustické snímače sú určené na vytváranie akustického hluku v interiéri alebo exteriéri a snímače vibrácií - na maskovanie hluku v obvodových plášťoch budov.

Takto je implementovaná ochrana proti úniku cez akustické kanály:

· použitie obkladov pohlcujúcich zvuk, špeciálnych prídavných vestibulov pre dverné otvory, dvojitých okenných krídiel;

· použitie prostriedkov akustického hluku objemov a plôch;

uzavretie ventilačných potrubí, vykurovacích systémov, napájania, telefónnej a rádiovej komunikácie;

Používanie špeciálnych certifikovaných priestorov, s výnimkou objavenia sa kanálov úniku informácií.

1.3. Ochrana informácií pred únikom cez elektromagnetické kanály

Na ochranu informácií pred únikom elektromagnetickými kanálmi sa používajú všeobecné spôsoby ochrany pred únikom, ako aj špecifické metódy zamerané na známe elektromagnetické kanály úniku informácií. Okrem toho možno ochranné opatrenia rozdeliť na konštrukčné a technologické riešenia zamerané na elimináciu možnosti takýchto kanálov a prevádzkové, ktoré súvisia so zabezpečením podmienok na používanie určitých technických prostriedkov v podmienkach výrobnej a pracovnej činnosti.

Dizajn a technologické opatrenia z hľadiska lokalizácie možnosti vytvorenia podmienok pre vznik kanálov úniku informácií v dôsledku falošného elektromagnetického žiarenia a snímačov (PEMIN) v technických prostriedkoch spracovania a prenosu informácií sa redukujú na racionálne konštrukčné a technologické riešenia, ktoré zahŕňajú:

tienenie prvkov a jednotiek zariadení;

zoslabenie elektromagnetickej, kapacitnej, indukčnej väzby medzi prvkami a vodičmi s prúdom;

· filtrovanie signálu v silových a uzemňovacích obvodoch a ďalšie opatrenia súvisiace s použitím obmedzovačov, oddeľovacích obvodov, systémov vzájomnej kompenzácie, atenuátorov na oslabenie alebo zničenie PEMIN.

Schematické metódy návrhu ochrany informácií:

tienenie

· uzemnenie;

Filtrácia

križovatka.

Filtre na rôzne účely sa používajú na potlačenie alebo zoslabenie signálov pri ich výskyte alebo šírení, ako aj na ochranu systémov napájania zariadení na spracovanie informácií.

Prevádzkové opatrenia zameraná na výber miest inštalácie technických zariadení s prihliadnutím na vlastnosti ich elektromagnetických polí tak, aby bol vylúčený ich výstup z kontrolovaného pásma. Pre tieto účely je možné realizovať tienenie miestností, v ktorých sa nachádzajú výrobky s vysokou úrovňou PEMI.

Organizačné opatrenia ochrana informácií pred únikom v dôsledku elektromagnetického žiarenia:

1. Zákaz

1.1. Vylúčenie žiarenia

1.2. Použitie tienených miestností

2. Zníženie dostupnosti

2.1. Rozšírenie kontrolovaného pásma

2.2. Zníženie vzdialenosti šírenia:

Zníženie výkonu

Zníženie výšky

2.3. Použitie priestorovej orientácie:

Výber oblastí bezpečnej polohy

Bezpečná orientácia hlavného laloku

Použitie vysoko smerových antén

Potlačenie bočných a zadných lalokov

2.4. Výber prevádzkových režimov:

Znížený pracovný čas

Používanie známych režimov prevádzky

Použitie výpočtových metód.

1.4. Ochrana informácií pred únikom cez materiálové kanály

Ochranné opatrenia tohto kanála nepotrebujú špeciálny komentár.

Na záver treba poznamenať, že pri ochrane informácií pred únikom pre ktorúkoľvek z uvažovaných je vhodné dodržať nasledujúci postup:

1. Identifikácia možných únikových kanálov.

2. Detekcia skutočných kanálov.

3. Hodnotenie nebezpečnosti skutočných kanálov.

4. Lokalizácia kanálov úniku nebezpečných informácií.

5. Systematické monitorovanie dostupnosti kanálov a kvality ich ochrany.

2. Vlastnosti programovo-matematického vplyvu vo verejných sieťach

Programový a matematický vplyv - toto je vplyv na chránené informácie pomocou škodlivých programov.

Malvér - program určený na vykonávanie neoprávneného prístupu k informáciám a (alebo) ovplyvňovania informácií alebo zdrojov informačného systému. Inými slovami, škodlivý program je nejaký nezávislý súbor inštrukcií, ktorý je schopný vykonávať nasledovné:

Skryť svoju prítomnosť v počítači;

· majú schopnosť sebadeštrukcie, maskovania sa za legálne programy a skopírovania sa do iných oblastí RAM alebo externej pamäte;

Upraviť (zničiť, zdeformovať) kód iných programov;

・Vykonajte nezávisle deštruktívne funkcie– kopírovanie, upravovanie, ničenie, blokovanie atď.

Narušte, zablokujte alebo vymeňte výstup externý kanál komunikáciu alebo na externé pamäťové médium.

Hlavné vstupné cesty malvér v IS, najmä na počítači, sú sieťové a vymeniteľné médiá (flash disky, disky a pod.). V tomto prípade môže byť zavedenie do systému náhodné.

Hlavné typy malvér sú:

• Softvérové ​​záložky;
• softvérové ​​vírusy;
• sieťové červy;
• iné škodlivé programy určené na vykonávanie UA.

TO softvérové ​​záložky zahŕňajú programy a fragmenty programového kódu určené na vytvorenie nedeklarovaných prvkov legálneho softvéru.

Nedeklarované softvérové ​​schopnosti– funkčnosť softvéru, ktorá nie je popísaná v dokumentácii. Softvérová karta často slúži ako kanál pre iné vírusy a spravidla nie sú detekované štandardnými antivírusovými nástrojmi.

Softvérové ​​záložky sa rozlišujú v závislosti od spôsobu ich zavedenia do systému:

• softvér a hardvér. Sú to záložky integrované do firmvéru počítača ( BIOS, firmvér periférnych zariadení);
• boot. Sú to záložky integrované do bootstrap programov (načítacích programov) umiestnených v boot sektoroch;
• vodič. Sú to záložky integrované do ovládačov (súbory vyžadované operačným systémom na správu periférnych zariadení pripojených k počítaču);
• aplikované. Sú to záložky integrované do aplikačného softvéru (textové editory, grafické editory, rôzne pomocné programy atď.);
• spustiteľný. Sú to záložky integrované do spustiteľných programových modulov. Programové moduly sú najčastejšie súbory balíkov;
• imitátorské záložky. Ide o záložky, ktoré pomocou podobného rozhrania napodobňujú programy, ktoré vyžadujú zadanie dôverných informácií;

Na identifikáciu softvérových záložiek sa často používa kvalitatívny prístup, ktorý spočíva v monitorovaní fungovania systému, a to:

• zníženie rýchlosti;
• zmena zloženia a dĺžky súborov;
• čiastočné alebo úplné zablokovanie systému a jeho komponentov;
• napodobňovanie fyzických (hardvérových) porúch pri prevádzke výpočtových zariadení a periférnych zariadení;
• preposielanie správ;
• obchádzanie softvéru a hardvéru na konverziu kryptografických informácií;
• poskytovanie prístupu do systému z neoprávnených zariadení.

Existujú aj diagnostické metódy na zisťovanie záložiek. Takže napríklad antivírusy úspešne nájdu spúšťacie záložky. Spustenie statickej chyby na diskoch dobre zvláda Disk Doctor, ktorý je súčasťou rozšíreného balíka nástrojov Norton Utilities. Medzi najbežnejšie softvérové ​​záložky patrí „trójsky kôň“.

trójsky kôň s názvom:

• program, ktorý ako súčasť iného programu s funkciami známymi používateľovi je schopný tajne vykonať niektoré dodatočné akcie, aby mu spôsobil určitú škodu;
• program s funkciami známymi svojmu používateľovi, ktorý bol upravený tak, že okrem týchto funkcií môže pred ním tajne vykonávať aj niektoré ďalšie (deštruktívne) akcie.

Hlavné typy trójskych koní a ich schopnosti:

• Trojan Notifier– Oznámenie o úspešnom útoku. Trójske kone tohto typu sú navrhnuté tak, aby informovali svojho „majiteľa“ o infikovanom počítači. To odosiela informácie o počítači na adresu hostiteľa, ako je IP adresa počítača, číslo otvoreného portu, e-mailová adresa atď.
• Trojan-PSW- Krádež hesiel. Ukradnú dôverné údaje z počítača a pošlú ich majiteľovi e-mailom.
• Trojan Clicker- Internetové klikače - Rodina trójskych koní, ktorých hlavnou funkciou je organizovať neoprávnený prístup k internetovým zdrojom (zvyčajne k webovým stránkam). Používajú sa na to rôzne metódy, napríklad nastavenie záškodníckej stránky ako domovskej stránky v prehliadači.
• Trojan DDoS – Trojan-DDoS zmeniť infikovaný počítač na takzvaného bota, ktorý sa používa na organizovanie útokov na odmietnutie prístupu na konkrétnu stránku. Ďalej je vlastník stránky povinný zaplatiť peniaze za zastavenie útoku.
• Trojan Proxy– Trójsky kôň proxy servery. Rodina trójskych koní, ktoré skryto vykonávajú anonymný prístup k rôznym internetovým zdrojom. Zvyčajne sa používa na odosielanie spamu.
• Trójsky špión– Spyware. Sú schopné monitorovať všetky vaše aktivity na infikovanom počítači a prenášať dáta ich majiteľovi. Tieto údaje môžu zahŕňať heslá, audio a video súbory z mikrofónu a videokamery pripojenej k počítaču.
• Zadné dvere– Schopný vzdialene spravovať infikovaný počítač. Jeho možnosti sú nekonečné, celý váš počítač bude k dispozícii vlastníkovi programu. Bude môcť vo vašom mene posielať správy, zoznámiť sa so všetkými informáciami v počítači alebo jednoducho zničiť systém a dáta bez vášho vedomia.
• Trojan-Dropper– Inštalátori iného škodlivého softvéru. Veľmi podobný Trojan-Downloader, ale inštalujú škodlivé programy, ktoré sú obsiahnuté v sebe.
• Rootkit- sú schopní skryť sa v systéme nahradením rôznych predmetov sebou samými. Takéto trójske kone sú veľmi nepríjemné, pretože dokážu nahradiť zdrojový kód operačného systému svojim programovým kódom, ktorý antivírus schopnosť zistiť prítomnosť vírusu.

Absolútne všetky softvérové ​​záložky, bez ohľadu na spôsob ich zavedenia do počítačového systému, obdobie ich pobytu v RAM a účel, majú jednu vec spoločnú: povinné vykonanie operácie zápisu do pamäte RAM alebo externej pamäte systému. Bez tejto operácie nemôže mať záložka softvéru žiadny negatívny vplyv.

Vírus (počítač, softvér) - spustiteľný programový kód alebo interpretovaný súbor inštrukcií, ktorý má vlastnosti neoprávnenej distribúcie a vlastnej reprodukcie. Vytvorené duplikáty počítačového vírusu sa nie vždy zhodujú s originálom, ale zachovávajú si schopnosť ďalšieho šírenia a množenia. Touto cestou, Povinnou vlastnosťou softvérového vírusu je schopnosť vytvárať kópie seba samého a vložiť ich do počítačových sietí a/alebo súborov, oblastí počítačového systému a iných spustiteľných objektov. Duplikáty si zároveň zachovávajú možnosť ďalšej distribúcie.

Životný cyklus vírusu pozostáva z nasledujúcich fáz:

• prieniku do počítača
• aktivácia vírusu
• hľadať predmety na infekciu
• príprava vírusových kópií
• zavedenie vírusových kópií

Klasifikácia vírusov a sieťových červov je znázornená na obrázku 1.

Obr.1. Klasifikácia vírusov a sieťových červov

Vírusový kód typu boot vám umožňuje prevziať kontrolu nad počítačom v štádiu inicializácie, ešte pred spustením samotného systému. Spúšťacie vírusy zapisujú sa buď do zavádzacieho sektora, alebo do sektora obsahujúceho bootloader pevného disku, alebo zmeňte ukazovateľ na aktívny zavádzací sektor. Princíp fungovania zavádzacích vírusov je založený na algoritmoch na spustenie operačného systému pri zapnutí alebo reštarte počítača: po potrebných testoch nainštalovaného zariadenia (pamäť, disky atď.) program zavádzania systému načíta prvé fyzické sektore zavádzacieho disku a prenesie riadenie do A:, C: alebo CD-ROM, v závislosti od nastavených možností Nastavenie systému BIOS.

V prípade diskety alebo CD disku je riadený zavádzací sektor disku, ktorý analyzuje tabuľku parametrov disku (VRT - Blok parametrov systému BIOS), vypočíta adresy systémových súborov OS, načíta ich do pamäte a spustí ich na spustenie. Systémové súbory sú zvyčajne MSDOS.SYS a IO.SYS alebo IBMDOS.COM a IBMBIO.COM alebo iné v závislosti od nainštalovanej verzie DOS a/alebo Windows alebo iných operačných systémov. Ak na zavádzacom disku nie sú žiadne súbory operačného systému, program umiestnený v zavádzacom sektore disku zobrazí chybové hlásenie a navrhne výmenu zavádzacieho disku.

V prípade pevného disku preberá riadenie program umiestnený v MBR pevného disku. Analyzuje tabuľku rozdelenia disku (Disk Partition Table), vypočíta adresu aktívneho zavádzacieho sektora (zvyčajne je tento sektor zavádzací sektor disku C:), načíta ho do pamäte a odovzdá mu riadenie. Po prijatí kontroly vykoná aktívny zavádzací sektor pevného disku rovnaké akcie ako zavádzací sektor diskety.

Pri infikovaní diskov zavádzacie vírusy nahradia svoj kód nejakým programom, ktorý prevezme kontrolu pri zavádzaní systému. Princíp infekcie je teda vo všetkých vyššie popísaných metódach rovnaký: vírus pri reštarte „núti“ systém, aby načítal do pamäte a dal kontrolu nie pôvodnému kódu bootloadera, ale kódu vírusu.

Príklad: Škodlivý program Virus.Boot.Snow.a zapíše svoj kód do MBR pevného disku alebo do zavádzacích sektorov diskiet. V tomto prípade sú pôvodné zavádzacie sektory zašifrované vírusom. Po prijatí kontroly vírus zostáva v pamäti počítača (rezidencia) a zachytáva prerušenia. Niekedy sa vírus prejavuje ako vizuálny efekt - na obrazovku počítača začne padať sneh.

Súborové vírusy - vírusy, ktoré priamo infikujú súbory. Súborové vírusy možno rozdeliť do troch skupín v závislosti od prostredia, v ktorom sa vírus šíri:

1. Súborové vírusy – pracujte priamo so zdrojmi operačného systému. Príklad: jeden z najznámejších vírusov dostal názov „Černobyľ“. Vzhľadom na malú veľkosť (1 Kb) vírus infikoval súbory PE tak, že sa ich veľkosť nezmenila. Na dosiahnutie tohto efektu vírus hľadá v súboroch „prázdne“ sekcie, ktoré sa objavujú v dôsledku zarovnania začiatku každej sekcie súboru s viacerými bajtovými hodnotami. Po získaní kontroly vírus zachytí IFS API, monitoruje volania funkcie prístupu k súborom a infikuje spustiteľné súbory. 26. apríla sa spúšťa deštruktívna funkcia vírusu, ktorá spočíva vo vymazaní Flash BIOSu a počiatočných sektorov pevných diskov. Výsledkom je nemožnosť zaviesť počítač vôbec (v prípade úspešného pokusu o vymazanie Flash BIOS) alebo strata údajov na všetkých pevných diskoch počítača.

2. Makrovírusy - vírusy napísané v makrojazykoch zabudované do niektorých systémov na spracovanie údajov (textové editory, tabuľkové procesory atď.). Najbežnejšie sú vírusy pre programy balíka Microsoft Office. Na svoju reprodukciu takéto vírusy využívajú schopnosti makrojazykov a s ich pomocou sa prenášajú (ich kópie) z jedného dokumentu do druhého.

Aby makrovírusy existovali v konkrétnom editore, makrojazyk v ňom zabudovaný musí mať nasledujúce schopnosti:

• prepojenie programu v jazyku makra s konkrétnym súborom;
• kopírovanie makier z jedného súboru do druhého;
• získať ovládanie makier bez zásahu používateľa (automatické alebo štandardné makrá).

Tieto podmienky spĺňajú aplikácie Microsoft Word, Excel a Microsoft Access. Obsahujú jazyky makier: Word Basic, Visual Basic for Applications. Moderné makro jazyky majú vyššie uvedené funkcie, aby umožnili automatické spracovanie údajov.

Väčšina makrovírusov je aktívna nielen v momente otvárania (zatvárania) súboru, ale pokiaľ je aktívny samotný editor. Obsahujú všetky svoje funkcie ako štandardné makrá Word/Excel/Office. Existujú však vírusy, ktoré používajú triky na skrytie svojho kódu a ukladajú ho ako iné ako makrá. Sú známe tri takéto techniky, všetky využívajú schopnosť makier vytvárať, upravovať a spúšťať iné makrá. Takéto vírusy majú spravidla malé makro na načítanie vírusov, ktoré zavolá vstavaný editor makier, vytvorí nové makro, naplní ho hlavným vírusovým kódom, spustí a potom ho spravidla zničí (aby sa skryli stopy po prítomnosť vírusu). Hlavný kód takýchto vírusov je prítomný buď v samotnom makre vírusu vo forme textových reťazcov (niekedy zašifrovaných), alebo je uložený v premennej oblasti dokumentu.

3. Sieťové vírusy – vírusy, ktoré na šírenie využívajú protokoly a možnosti lokálnych a globálnych sietí. Hlavnou vlastnosťou sieťového vírusu je schopnosť nezávisle sa replikovať cez sieť. Zároveň existujú sieťové vírusy, ktoré sa môžu spustiť na vzdialenej stanici alebo serveri.

Hlavné deštruktívne akcie vykonávané vírusmi a červami:

útoky odmietnutia služby

strate dát

krádeže informácií.

Okrem všetkých vyššie uvedených existujú kombinované vírusy, ktoré kombinujú vlastnosti rôznych typov vírusov, napríklad súbor a boot. Ako príklad si vezmime boot vírus populárny v minulých rokoch s názvom „OneHalf“. Tento vírusový kód, raz v počítačovom prostredí operačného systému "MS-DOS", infikoval hlavný zavádzací záznam. Počas inicializácie počítača zašifroval sektory hlavného disku, počnúc od koncových. Keď sa vírus dostane do pamäte, začne kontrolovať akýkoľvek prístup k šifrovacím sektorom a dokáže ich dešifrovať tak, že všetky programy budú fungovať normálne. Ak sa vírus "OneHalf" jednoducho vymaže z pamäte a zavádzacieho sektora, informácie zaznamenané v šifrovacom sektore disku sa stanú nedostupnými. Keď vírus zašifruje časť disku, upozorní na to nasledujúcou správou: „Dis is one half, Press any key to continue…“. Po týchto akciách čaká, kým kliknete na ľubovoľné tlačidlo a budete pokračovať v práci. Vírus "OneHalf" používa rôzne maskovacie mechanizmy. Považuje sa za neviditeľný vírus a vykonáva polymorfné algoritmické funkcie. Detekcia a odstránenie vírusového kódu "OneHalf" je veľmi problematické, pretože nie všetky antivírusové programy ho môžu vidieť.

Vo fáze prípravy kópií vírusov moderné vírusy často používajú metódy maskovania kópií, aby ich antivírusové nástroje sťažili:

• Šifrovanie – vírus sa skladá z dvoch funkčných častí: samotného vírusu a kodéra. Každá kópia vírusu pozostáva z kodéra, náhodného kľúča a samotného vírusu zašifrovaného týmto kľúčom.
• Metamorfizmus je vytváranie rôznych kópií vírusu nahradením blokov príkazov ekvivalentnými, preskupením kúskov kódu, vložením „odpadových“ príkazov medzi zmysluplné časti kódu, ktoré prakticky nič nerobia.

Výsledkom kombinácie týchto dvoch technológií sú nasledujúce typy vírusov:

• Šifrovaný vírus je vírus, ktorý používa jednoduché šifrovanie s náhodným kľúčom a nemenným scramblerom. Takéto vírusy sa dajú ľahko zistiť pomocou podpisu kódovača.
• Metamorfný vírus - Vírus, ktorý aplikuje metamorfózu na celé svoje telo, aby vytvoril nové kópie.
• Polymorfný vírus je vírus, ktorý používa metamorfnú šifru na zašifrovanie hlavnej časti vírusu náhodným kľúčom. V tomto prípade môže byť časť informácií použitých na získanie nových kópií kódovača tiež zašifrovaná. Vírus môže napríklad implementovať niekoľko šifrovacích algoritmov a pri vytváraní novej kópie zmeniť nielen príkazy kódovača, ale aj samotný algoritmus.

Červ - druh malvéru, ktorý sa šíri sieťovými kanálmi, je schopný autonómne prekonať ochranné systémy automatizovaných a počítačových sietí, ako aj vytvárať a ďalej distribuovať svoje kópie, ktoré sa nie vždy zhodujú s originálom, a vykonávať ďalšie škodlivé účinky. Najznámejším červom je Morissov červ, ktorého mechanizmy sú podrobne opísané v literatúre. Červ sa objavil v roku 1988 a v krátkom čase ochromil mnoho počítačov na internete. Tento červ je „klasikou“ škodlivých programov a útočné mechanizmy vyvinuté autorom pri jeho napísaní útočníci stále používajú. Moriss bol samošíriaci sa program, ktorý šíril svoje kópie po sieti a získaval privilegované prístupové práva k hostiteľom siete využívaním zraniteľností v operačnom systéme. Jednou zo zraniteľností, ktoré červ využíval, bola zraniteľná verzia programu sendmail (funkcia „ladenia“ programu sendmail, ktorá nastavila režim ladenia pre aktuálnu komunikáciu) a druhou bol program fingerd (obsahoval vyrovnávaciu pamäť chyba pretečenia). Červ tiež použil na útoky na systémy zraniteľnosť v príkazoch rexec a rsh, ako aj nesprávne zvolené používateľské heslá.

Vo fáze vstupu do systému červami rozdelené hlavne podľa typov používaných protokolov:

• Sieťové červy - Červy, ktoré na distribúciu využívajú protokoly internetu a lokálnych sietí. Typicky sa tento typ červa šíri pomocou niektorých aplikácií na nesprávne spracovanie základných paketov zásobníka protokolu TCP/IP.
• Poštové červy - červy, ktoré sa šíria vo forme e-mailových správ. E-mail spravidla obsahuje telo kódu alebo odkaz na infikovaný zdroj. Keď spustíte priložený súbor, červ sa aktivuje; keď kliknete na odkaz, stiahnete a následne otvoríte súbor, červ tiež začne vykonávať svoju škodlivú akciu. Potom pokračuje v distribúcii svojich kópií, hľadá ďalšie e-mailové adresy a posiela na ne infikované správy. Červy používajú na odosielanie správ nasledujúce metódy: priame pripojenie k serveru SMTP pomocou poštovej knižnice zabudovanej v kóde červa; používanie služieb MS Outlook; pomocou funkcií Windows MAPI. Na vyhľadávanie adries obetí sa najčastejšie používa adresár MS Outlook, ale možno použiť aj databázu adries WAB. Červ dokáže skenovať súbory uložené na diskoch a extrahovať z nich riadky súvisiace s e-mailovými adresami. Červy môžu posielať svoje kópie na všetky adresy nájdené v poštovej schránke (niektoré majú možnosť odpovedať na poštu v poštovej schránke). Existujú prípady, ktoré môžu kombinovať metódy.
• IRC červy - Červy, ktoré sa šíria cez kanály IRC (Internet Relay Chat). Červy tejto triedy používajú dva typy distribúcie: preposielanie URL odkazu na súbor tela používateľovi; odoslanie súboru užívateľovi (užívateľ musí potvrdiť prijatie).
• P2P červy - Červy, ktoré sa šíria pomocou sietí na zdieľanie súborov typu peer-to-peer. Mechanizmus väčšiny týchto červov je pomerne jednoduchý: na infiltráciu P2P siete sa červ potrebuje skopírovať do adresára na výmenu súborov, ktorý sa zvyčajne nachádza na lokálnom počítači. O zvyšok práce na jeho distribúcii sa stará P2P sieť – pri vyhľadávaní súborov v sieti bude o tomto súbore informovať vzdialených používateľov a poskytne všetky potrebné služby na jeho stiahnutie z infikovaného počítača. Existujú sofistikovanejšie P2P červy, ktoré napodobňujú sieťový protokol konkrétneho systému na zdieľanie súborov a kladne reagujú na požiadavky vyhľadávania (zatiaľ čo červ ponúka svoju kópiu na stiahnutie).
• IM červy - červy, ktoré na šírenie využívajú systémy okamžitých správ (IM, Instant Messenger - ICQ, MSN Messenger, AIM atď.). Známe počítačové červy tohto typu používajú jedinú metódu distribúcie - posielanie správ zisteným kontaktom (zo zoznamu kontaktov) s URL do súboru umiestneného na webovom serveri. Táto technika takmer úplne opakuje podobný spôsob distribúcie používaný poštovými červami.

V súčasnosti si čoraz väčšiu „obľúbenosť“ získavajú mobilné červy a červy, ktoré šíria svoje kópie prostredníctvom zdieľaných sieťových prostriedkov. Tie využívajú funkcie operačného systému, najmä triedia dostupné sieťové priečinky, pripájajú sa k počítačom v globálnej sieti a pokúšajú sa otvoriť svoje jednotky pre úplný prístup. Líšia sa od štandardných sieťových červov v tom, že používateľ potrebuje otvoriť súbor s kópiou červa, aby ho mohol aktivovať.

Podľa ich deštruktívnych schopností sa rozlišujú vírusy a sieťové červy:

• neškodný, to znamená, že žiadnym spôsobom neovplyvňuje činnosť počítača (okrem zníženia voľného miesta na disku v dôsledku jeho distribúcie);
• nie nebezpečné, ktorých vplyv je obmedzený na zníženie voľného miesta na disku a grafické, zvukové a iné efekty;
• nebezpečné vírusy, ktoré môžu spôsobiť vážne poruchy počítača;
• veľmi nebezpečné - algoritmus ich práce zámerne obsahuje postupy, ktoré môžu spôsobiť stratu programov, zničiť dáta, vymazať informácie potrebné pre chod počítača, zaznamenané v systémových pamäťových oblastiach.

Ale aj keď sa vo vírusovom algoritme nenájdu žiadne vetvy, ktoré poškodzujú systém, tento vírus nemožno s plnou dôverou nazvať neškodným, pretože jeho prenikanie do počítača môže spôsobiť nepredvídateľné a niekedy katastrofálne následky. Koniec koncov, vírus, ako každý program, má chyby, v dôsledku ktorých sa môžu poškodiť súbory aj sektory disku ( napríklad zdanlivo neškodný vírus DenZuk funguje celkom korektne s 360-kilobajtovými disketami, no dokáže zničiť informácie na väčších disketách). Doteraz existujú vírusy, ktoré určujú COM alebo EXE nie podľa interného formátu súboru, ale podľa jeho prípony. Prirodzene, ak sa formát a prípona názvu nezhodujú, súbor sa po infekcii stane nefunkčným. Rezidentný vírus a systém je možné „zaseknúť“ aj pri používaní nových verzií DOSu, pri práci vo Windows alebo s inými výkonnými softvérovými systémami.

Ak analyzujeme všetky vyššie uvedené skutočnosti, môžeme vidieť podobnosť sieťových červov a počítačových vírusov, najmä úplnú zhodu životného cyklu a sebareplikácie. Hlavným rozdielom medzi červami a softvérovými vírusmi je schopnosť šíriť sa po sieti bez ľudského zásahu. Sieťové červy sú niekedy klasifikované ako podtrieda počítačových vírusov.

V dôsledku rýchleho rozvoja internetu a informačných technológií neustále narastá počet škodlivých programov a možností ich zavedenia do informačného systému. Najväčšie nebezpečenstvo predstavujú nové formy vírusov a sieťových červov, ktorých podpisy výrobcovia nástrojov informačnej bezpečnosti nepoznajú. V súčasnosti získavajú čoraz väčšiu popularitu také metódy boja, ako je analýza abnormálneho správania systému a umelého imunitného systému, ktoré umožňujú odhaliť nové formy vírusov.

Podľa analytickej správy o vírusovej aktivite od Panda Security za 3. štvrťrok 2011 bol pomer vytvoreného malvéru taký, ako je znázornené na obrázku 2.

Ryža. 2. Pomer malvéru vytvoreného v 3. štvrťroku 2011

To znamená, že tri zo štyroch nových vzoriek softvéru boli trójske kone a vírusy sú na druhom mieste. Ak skorší malvér vznikal najčastejšie na experimentálne alebo „žartovné“ účely a bol skôr aktom kybernetického vandalizmu, teraz ide o mocnú zbraň na získavanie materiálnych či iných výhod, ktorá nadobúda skôr charakter kyberzločinu.

V každom prípade môže malvér spôsobiť značné škody tým, že si uvedomí ohrozenie integrity, dôvernosti a dostupnosti informácií. Najpopulárnejšou metódou, ako sa s nimi vysporiadať, je inštalácia antivírusovej ochrany.

3. Ochrana informácií v lokálnych sieťach

3.1. Antivírus

Antivírusové programy dnes možno bezpečne nazvať najobľúbenejším prostriedkom ochrany informácií. Antivírusové programy - programy určené na boj proti škodlivému softvéru (vírusom).

Na detekciu vírusov používajú antivírusové programy dve metódy - podpisovú a heuristickú.

metóda podpisu je založená na porovnaní podozrivého súboru s podpismi známych vírusov. Signatúra je určitá vzorka známeho vírusu, teda súbor charakteristík, ktoré umožňujú identifikovať daný vírus alebo prítomnosť vírusu v súbore. Každý antivírus ukladá antivírusovú databázu obsahujúcu vírusové podpisy. Prirodzene, každý deň sa objavujú nové vírusy, preto je potrebné antivírusovú databázu pravidelne aktualizovať. V opačnom prípade antivírus nenájde nové vírusy. Predtým všetky antivírusové programy používali na detekciu vírusov iba metódu podpisu kvôli jej ľahkej implementácii a presnosti pri detekcii známych vírusov. Táto metóda má však zjavné nevýhody – ak je vírus nový a jeho signatúra nie je známa, antivírus ho „preskočí“. Preto aj moderné antivírusy využívajú heuristické metódy.

heuristická metóda je súbor približných metód na zisťovanie vírusov na základe rôznych predpokladov. Spravidla sa rozlišujú tieto heuristické metódy:

• hľadať vírusy podobné tým známym(často sa táto metóda nazýva heuristická). V princípe je metóda podobná metóde podpisu, len v tomto prípade je flexibilnejšia. Metóda podpisu vyžaduje presnú zhodu, ale tu sa súbor skúma na prítomnosť modifikácií známych podpisov, čo nie je nevyhnutne úplná zhoda. To pomáha odhaliť hybridy vírusov a modifikácie už známych vírusov;
• anomálna metóda– metóda je založená na sledovaní anomálnych udalostí v systéme a identifikácii hlavných škodlivých akcií: mazanie, zapisovanie do určitých oblastí registra, odosielanie listov atď. Je zrejmé, že vykonávanie každej takejto akcie samostatne nie je dôvodom na zváženie škodlivý program. Ak však program neustále vykonáva niekoľko takýchto akcií, napríklad sa zapisuje do kľúča automatického spustenia systémového registra, zachytáva údaje zadané z klávesnice a odosiela tieto údaje na nejakú internetovú adresu s určitou frekvenciou, potom je tento program prinajmenšom podozrivý. . Behaviorálne analyzátory pre svoju prácu nepoužívajú ďalšie objekty, ako sú vírusové databázy, a preto nedokážu rozlíšiť medzi známymi a neznámymi vírusmi – všetky podozrivé programy sú a priori považované za neznáme vírusy. Podobne vlastnosti fungovania nástrojov, ktoré implementujú technológie behaviorálnej analýzy, nezahŕňajú liečbu;
• analýza kontrolného súčtu je spôsob, ako sledovať zmeny v objektoch počítačového systému. Na základe analýzy charakteru zmien – simultánnosť, masívnosť, identické zmeny v dĺžke súborov – môžeme konštatovať, že systém je infikovaný. Analyzátory kontrolných súm, podobne ako analyzátory anomálneho správania, pri svojej práci nepoužívajú antivírusové databázy a o prítomnosti vírusu v systéme rozhodujú výlučne metódou expertného hodnotenia. Veľká obľuba analýzy kontrolných súčtov je spojená s pamäťami jednoúlohových operačných systémov, kedy bol počet vírusov relatívne malý, súborov málo a menili sa len zriedka. Dnes už audítori zmien stratili svoje pozície a v antivírusoch sa používajú len zriedka. Častejšie sa takéto technológie využívajú v skeneroch pri prístupe – pri prvej kontrole sa zo súboru vyberie kontrolný súčet a uloží sa do vyrovnávacej pamäte, pred ďalšou kontrolou toho istého súboru sa kontrolný súčet znova vyberie, porovná a ak nie sú žiadne zmeny, súbor sa považuje za neinfikovaný.

Heuristické metódy majú tiež svoje výhody a nevýhody. Medzi výhody patrí schopnosť odhaliť nové vírusy. To znamená, že ak je vírus nový a jeho signatúra nie je známa, antivírus s detekciou založenou na signatúrach ho počas kontroly „prehliadne“ a pri heuristickej ho pravdepodobne nájde. Z poslednej vety vyplýva aj hlavný nedostatok heuristickej metódy – jej pravdepodobnostná povaha. To znamená, že takýto antivírus môže nájsť vírus, nie ho nájsť alebo vziať legitímny súbor pre vírus.

V moderných antivírusových systémoch sa výrobcovia snažia kombinovať metódu podpisu a heuristické metódy. Sľubným smerom v tejto oblasti je vývoj antivírusov s umelý imunitný systém - analóg ľudského imunitného systému, ktorý dokáže rozpoznať "cudzie" telesá.

V antivíruse musia byť prítomné nasledujúce moduly:

• aktualizovať modul – doručuje užívateľovi antivírusu aktualizované databázy podpisov. Aktualizačný modul kontaktuje servery výrobcu a stiahne aktualizované antivírusové databázy.
• plánovací modul - určené na plánovanie akcií, ktoré by mal antivírus pravidelne vykonávať. Napríklad skenujte počítač na prítomnosť vírusov a aktualizujte antivírusové databázy. Užívateľ si môže zvoliť plán vykonávania týchto akcií.
• riadiaci modul - určený pre správcov veľkých sietí . Tieto moduly obsahujú rozhranie, ktoré vám umožňuje vzdialene konfigurovať antivírusy na sieťových uzloch, ako aj spôsoby obmedzenia prístupu lokálnych používateľov k nastaveniam antivírusu.
• modul karantény - určený na izoláciu podozrivých súborov na špeciálnom mieste - karanténe. Nie vždy je možné vyliečiť alebo vymazať podozrivý súbor, najmä ak vezmeme do úvahy falošné pozitíva heuristickej metódy. V týchto prípadoch je súbor umiestnený do karantény a odtiaľ nemôže vykonávať žiadnu akciu.

Vo veľkých organizáciách s rozsiahlou internou sieťou a prístupom na internet sa na ochranu informácií používajú antivírusové systémy.

Antivírusové jadro – implementácia mechanizmu skenovania podpisov na základe dostupných vírusových podpisov a heuristickej analýzy.

Antivírusový komplex - súbor antivírusov, ktoré používajú rovnaký antivírusový engine alebo enginy, určený na riešenie praktických problémov pri zabezpečovaní antivírusovej bezpečnosti počítačových systémov.

V závislosti od toho, kde sa používajú, existujú nasledujúce typy antivírusových komplexov:

• antivírusový komplex na ochranu pracovných staníc
• antivírusový komplex na ochranu súborových serverov
• antivírusový komplex na ochranu poštových systémov
• antivírusový komplex na ochranu brán

Antivírusový komplex na ochranu pracovných staníc zvyčajne pozostáva z nasledujúcich komponentov:

• on-access vírusový skener - kontroluje súbory, ku ktorým pristupuje OS;
• antivírusový skener miestnej pošty - na kontrolu prichádzajúcich a odchádzajúcich listov;
• on-demand antivírusová kontrola – kontroluje zadané oblasti diskov alebo súborov na požiadanie používateľa alebo podľa plánu nastaveného v module plánovania.

Antivírusový komplex na ochranu poštových systémov navrhnutý na ochranu poštového servera a zahŕňa:

• filter toku pošty - kontroluje vírusy prichádzajúce a odchádzajúce zo servera, na ktorom je nainštalovaný komplex;
• kontrola verejných priečinkov (databáz) – v reálnom čase kontroluje používateľské databázy a verejné priečinky na prítomnosť vírusov (v momente prístupu k týmto priečinkom alebo databázam). Môže tvoriť jeden celok s filtrom toku pošty v závislosti od implementácie technológie na zachytávanie správ/prístupov k priečinkom a ich odovzdávanie na skenovanie.
• on-demand antivírusový skener – kontroluje používateľské poštové schránky a verejné priečinky na prítomnosť vírusov, ak sú používané na poštovom serveri. Kontrola sa vykonáva na žiadosť správcu antivírusovej bezpečnosti alebo na pozadí.

Antivírusový komplex na ochranu súborových serverov - navrhnutý tak, aby chránil server, na ktorom je nainštalovaný. Zvyčajne sa skladá z dvoch odlišných komponentov:

• on-access vírusový skener – podobný on-access skeneru pre pracovnú stanicu;
• on-demand antivírusový skener – podobný skeneru na požiadanie na pracovnej stanici.

Antivírusový komplex na ochranu brán, ako už názov napovedá, je určený na kontrolu dát prenášaných cez bránu na prítomnosť vírusov. Keďže dáta sa cez bránu prenášajú takmer neustále, sú na nej nainštalované komponenty, ktoré pracujú v nepretržitom režime:

• HTTP stream scanner - kontroluje dáta prenášané cez HTTP protokol;
• FTP stream skener - kontroluje dáta prenášané cez FTP protokol;
• SMTP stream skener – kontroluje dáta prenášané cez bránu cez SMTP.

Povinnou súčasťou všetkých uvažovaných komplexov je modul na aktualizáciu antivírusových databáz.

Antivírusové nástroje sú dnes na trhu široko zastúpené. Majú však odlišné možnosti, cenu a požiadavky na zdroje. Pre výber správneho antivírusového softvéru je potrebné sledovať štatistiky antivírusového testovania zverejnené v sieti. V roku 1998 bol britský časopis Virus Bulletin jedným z prvých, ktorý testoval antivírusové produkty. Základom testu je zbierka škodlivých programov WildList, ktoré možno v prípade záujmu nájsť na internete. Aby antivírusový program úspešne prešiel testom, musí detegovať všetky vírusy z tohto zoznamu a preukázať nulovú mieru falošných pozitív na kolekcii „čistých“ protokolových súborov. Testovanie prebieha na rôznych operačných systémoch (Windows, Linux atď.) a produkty, ktoré úspešne prejdú testom, získajú ocenenie VB100%. Zoznam programov, ktoré prešli najnovšou kontrolou, si môžete pozrieť na http://www.virusbtn.com/vb100/archive/summary.

Okrem Virus Bulletinu testovanie vykonávajú nezávislé laboratóriá, ako sú AV-Comparatives a AV-Tests. Len ich „zbierka“ vírusov môže obsahovať až milión škodlivých programov. Na internete môžete nájsť správy o týchto štúdiách, avšak v angličtine. Navyše na stránke Virus Bulletin si môžete navzájom porovnať výrobcov (dodávateľov) antivírusov na nasledujúcej stránke http://www.virusbtn.com/vb100/archive/compare?nocache .

3.2. POŽARNE dvere

POŽARNE dvere (ME) je softvérový alebo firmvérový nástroj, ktorý vymedzuje informačné toky na hranici chráneného systému.

Firewall prechádza všetku komunikáciu cez seba, pričom sa rozhoduje o každom prechádzajúcom pakete: či ho nechá prejsť alebo nie. Aby mohol firewall vykonať túto operáciu, potrebuje definovať súbor pravidiel filtrovania.

Použitie ME umožňuje:

• zvýšiť bezpečnosť objektov v rámci systému ignorovaním neoprávnených požiadaviek z vonkajšieho prostredia;
• riadiť informačné toky do vonkajšieho prostredia;
• zabezpečiť registráciu procesov výmeny informácií.

Rozhodnutie ministerstva energetiky o tom, či premávku prejde alebo nie, je založené na filtrovaní podľa určitých pravidiel. Existujú dva spôsoby nastavenia ME:

• najprv „zakázať všetko“ a potom určiť, čo by malo byť povolené;
• najprv „povoliť všetko“ a potom určiť, čo by malo byť zakázané.

Je zrejmé, že prvá možnosť je bezpečnejšia, pretože zakazuje všetko a na rozdiel od druhej nemôže prepustiť nechcenú premávku.

V závislosti od princípov fungovania sa rozlišuje niekoľko tried ME. Hlavným znakom klasifikácie je úroveň modelu ISO/OSI, na ktorej ME funguje.

1. Paketové filtre

Najjednoduchšia trieda firewallov pracujúcich na sieťovej a transportnej vrstve modelu ISO/OSI. Filtrovanie paketov sa zvyčajne vykonáva podľa nasledujúcich kritérií:

• zdrojová IP adresa;
• IP adresa príjemcu;
• zdrojový port;
• cieľový prístav;
• špecifické parametre hlavičiek sieťových paketov.

Filtrovanie je realizované porovnaním uvedených parametrov hlavičiek sieťových paketov s bázou pravidiel filtrovania.

2. Brány na úrovni relácie

Tieto brány firewall fungujú na relačnej vrstve modelu ISO/OSI. Na rozdiel od paketových filtrov môžu kontrolovať prípustnosť komunikačnej relácie analýzou parametrov protokolov vrstvy relácie. Medzi pozitívne vlastnosti paketových filtrov patria:

• nízke náklady;
• schopnosť flexibilne konfigurovať pravidlá filtrovania;
• malé oneskorenie pri prechode paketov.

Nevýhody zahŕňajú nasledovné:

• pravidlá filtrovania paketov sa ťažko opisujú a vyžadujú veľmi dobrú znalosť technológií TCP a UDP. Takéto ME často vyžadujú mnoho hodín manuálneho ladenia vysokokvalifikovanými odborníkmi;
• ak firewall s filtrovaním paketov zlyhá, všetky počítače za ním budú úplne nechránené alebo nedostupné;
• žiadne overenie na úrovni používateľa.

3. Brány aplikačnej vrstvy

Firewally tejto triedy vám umožňujú filtrovať určité typy príkazov alebo množín údajov v protokoloch aplikačnej vrstvy. Na tento účel sa používajú proxy služby - špeciálne programy, ktoré riadia prevádzku cez firewall pre určité protokoly vysokej úrovne (http, ftp, telnet atď.). Ak sa bez použitia proxy služieb vytvorí sieťové pripojenie priamo medzi interagujúcimi stranami A a B, potom sa v prípade použitia proxy služby objaví sprostredkovateľ - proxy server, ktorý nezávisle interaguje s druhým účastníkom výmeny informácií. Táto schéma vám umožňuje kontrolovať prípustnosť používania jednotlivých príkazov protokolov vysokej úrovne, ako aj filtrovať údaje prijaté serverom proxy zvonku; proxy server zároveň môže na základe stanovených zásad rozhodnúť o možnosti alebo nemožnosti prenosu týchto údajov klientovi A.

4. Firewally na expertnej úrovni

Najkomplexnejšie firewally, ktoré kombinujú prvky všetkých troch vyššie uvedených kategórií. Namiesto proxy služieb tieto obrazovky používajú algoritmy na rozpoznávanie a spracovanie údajov na aplikačnej úrovni.

Okrem funkcie filtrovania umožňuje ME skryť skutočné adresy uzlov v chránenej sieti pomocou prekladu sieťových adries - NAT (Network Address Translation). Keď paket dorazí na ME, nahradí skutočnú adresu odosielateľa virtuálnou. Po prijatí odpovede DOE vykoná opačný postup.

Väčšina v súčasnosti používaných brán firewall je klasifikovaná ako expertná. Najznámejšie a najrozšírenejšie hasičské autá sú CISCO PIX a CheckPoint FireWall-1.

3.3. Systém detekcie narušenia

Detekcia narušenia bezpečnosti je proces zisťovania neoprávneného prístupu (alebo pokusov o neoprávnený prístup) k prostriedkom informačného systému. Intrusion Detection System (IDS) je vo všeobecnosti softvérový a hardvérový systém, ktorý rieši tento problém. Systémy detekcie narušenia (IDS) fungujú ako alarmy budov. Štruktúra IDS je znázornená na obrázku 3.

Ryža. 3. Štrukturálny diagram IDS

Schéma fungovania IDS je znázornená na obrázku 4.

Ako vidno z obrázku, fungovanie systémov IDS je v mnohých ohľadoch podobné firewallom: senzory prijímajú sieťovú prevádzku a jadro sa porovnávaním prijatej prevádzky so záznamami dostupnej databázy signatúr útokov snaží identifikovať stopy pokusy o neoprávnený prístup. Modul odozvy je voliteľný komponent, ktorý možno použiť na rýchle zablokovanie hrozby: možno napríklad vygenerovať pravidlo brány firewall na blokovanie zdroja útoku.

Existujú dva typy IDS – nodálny (HIDS) a sieťový (NIDS). HIDS sa nachádza na samostatnom uzle a monitoruje príznaky útokov na tento uzol.

Ryža. 4. Schéma práce IDS

Nodal IDS je systém senzorov, ktoré monitorujú rôzne udalosti v systéme, či nedochádza k anomálnej aktivite. Existujú nasledujúce typy senzorov:

• analyzátory protokolov - najčastejšie monitorované položky denníka systému a denníka zabezpečenia;
• senzory funkcií – porovnávajú vlastnosti určitých udalostí spojených buď s prichádzajúcou premávkou alebo protokolmi;
• Analyzátory systémových hovorov – analyzujú hovory medzi aplikáciami a operačným systémom, aby zistili, či zodpovedajú útoku. Tieto senzory majú preventívny charakter, to znamená, že môžu zabrániť útoku, na rozdiel od predchádzajúcich dvoch typov;
• Analyzátory správania aplikácií – analyzujú volania medzi aplikáciami a operačným systémom, aby zistili, či má aplikácia povolené niečo robiť;
• kontroléry integrity súborov – sledujú zmeny v súboroch pomocou kontrolných súčtov alebo digitálnych podpisov.

NIDS sa nachádza v samostatnom systéme a analyzuje všetku sieťovú prevádzku na známky útokov. V údajoch systémov je zabudovaná databáza príznakov útokov, pre ktoré systém analyzuje sieťovú prevádzku.

Každý typ IDS má svoje výhody a nevýhody. IDS na úrovni siete neznižuje celkový výkon systému, ale IDS na úrovni hostiteľa sú efektívnejšie pri zisťovaní útokov a umožňujú analyzovať aktivitu spojenú s individuálnym hostiteľom. V praxi je vhodné využívať systémy, ktoré kombinujú oba opísané prístupy.

Treba poznamenať, že sľubným smerom v oblasti vytvárania IDS je použitie heuristických metód analogicky s antivírusmi - sú to systémy umelej inteligencie, umelé imunitné systémy, analýza abnormálneho správania atď.

V našej dobe prekvitá priemyselná a vládna špionáž. Vďaka rozvoju informačných technológií sa denne objavujú nové spôsoby sledovania a nelegálneho získavania informácií o činnosti ich konkurentov. Technické kanály na únik dôverných informácií vznikajú vďaka fyzickým prevodníkom. Absolútne akékoľvek elektronické zariadenie v miestnosti sa môže stať zdrojom úniku, naopak môže byť detekované a neutralizované. Navyše je často jednoduchšie ho neutralizovať, ako nájsť.

Všeobecné informácie

Informácie sa môžu prenášať cez pole alebo látku. Môžete ukradnúť zvukovú vlnu, zachytiť elektromagnetické žiarenie alebo použiť staré metódy a zobrať papiere, možností je veľa. Ale všetci sú len nosiči. Únik sám o sebe je nekontrolované uvoľnenie skrytých informácií mimo podniku alebo okruhu ľudí, ktorí ich vlastnili.

Pojem „kanál úniku technických informácií“ však znamená fyzickú cestu od zdroja k útočníkovi. Prostredníctvom neho sa otvára prístup k skrytým údajom. V súčasnosti existujú štyri typy prenosu informácií, a to zvukové a elektromagnetické vlny, svetelné lúče a materiály.

Klasifikácia

Klasifikácia technických kanálov úniku informácií je založená na ich rozdelení do podskupín. Existujú prirodzené a špeciálne vytvorené kanály. Prvý sa môže objaviť v dôsledku falošného elektromagnetického žiarenia počas spracovania informácií alebo s cudzími vodičmi. V druhom prípade sú do systému špeciálne zavedené zariadenia zamerané na odpočúvanie. Na tento účel sa používajú prijímače a širokopásmové smerové antény. Vzhľadom na technické kanály úniku informácií stojí za zváženie aj zdroje rušenia.

Ochrana pred akustickou špionážou

Mikrofónny efekt sa môže vyskytnúť v akomkoľvek zariadení, kde sú induktory, piezo-optické meniče alebo akákoľvek konverzácia spôsobuje kolísanie poľa, ktoré tieto zariadenia dokážu zachytiť. Na ochranu organizácie pred týmto druhom úniku sa používajú organizačné a technické opatrenia. Prvým je vypnutie alebo výmena zariadenia. Druhým je pripojenie špeciálnych ochranných zariadení k telefónnym linkám.

Moderné zariadenia sú vyrobené vo forme telefónnych zásuviek, takže konkurenti nemôžu vizuálne určiť ich prítomnosť. Pred zabezpečením technického kanála úniku informácií by ste mali skontrolovať, či má skutočne mikrofónový efekt. Na tento účel sa používa špeciálne zariadenie, ktoré detekuje rušenie, šum atď.

Ochrana pred elektromagnetickou špionážou

Telekomunikačné zariadenia a iné rádioelektronické zariadenia majú elektromagnetické žiarenie. Je potrebné prenášať dáta, no vyskytujú sa aj nežiaduce vlny v podobe mimopásmových, elektromagnetických a šumových. Práve cez ne môžu unikať informácie. Povaha tohto žiarenia priamo závisí od dosahu zariadenia.

Pri zbere informácií zo zariadení s krátkym dosahom sa používa magnetická súčiastka, zatiaľ čo diaľková využíva elektromagnetické žiarenie. Technický kanál úniku informácií teda vytvorí pole rušenia. Bude to závisieť od veľkosti priestorov, umiestnenia čítacieho zariadenia a materiálov, z ktorých je vytvorené. Ak chcete určiť únik, musíte skontrolovať obe polia, blízke aj vzdialené.

Základné metódy ochrany

V súčasnosti vám moderné technológie umožňujú veľmi presne určiť napätie elektromagnetického poľa. Na tento účel sa používajú špeciálne nástroje a analýzy. Ale stále nie je možné presne určiť, aké intenzívne je celkové pole. Najlepšie je racionálne umiestniť prístroje do miestnosti tak, aby nedochádzalo k vzájomnému prekrývaniu ich žiarenia. To výrazne zjednoduší overovanie a identifikáciu technických kanálov úniku informácií.

Najdôležitejšou vecou pri ochrane pred takýmito únikmi je obmedzenie signálov, to znamená, že by nemali ísť mimo spoločnosti. Existujú normy a povolené hodnoty vĺn, ktoré musia byť nastavené na zariadení, aby sa zabránilo možnosti získať prístup ku komunikačným linkám konkurentov. Na zabezpečenie ochrany údajov pred falošným žiarením by sa malo prijať množstvo opatrení, a to:

• Všetky potenciálne netesné zariadenia nainštalujte na miesta čo najďalej od hranice chráneného priestoru.
• Zabezpečujeme tienenie priestorov, budov a komunikácií vo firme.
• Najlepšie je použiť miestne systémy, ktoré nemajú prístup k hraniciam územia.
• Všetky výmeny v silových a uzemňovacích sieťach by sa mali vykonávať výlučne v chránenej oblasti.
• Môžete tiež nainštalovať odrušovacie filtre.

Ak existujú podozrenia, že ochrana informácií pred únikom cez technické kanály už nepomáha a dôjde k úniku, možno na jeho detekciu použiť selektívne voltmetre, meracie prijímače, sektorové analyzátory a ďalšie špecifické zariadenia.

Ochrana pred špehovaním potravinových reťazcov

Únik z kontrolovaného pásma môže nastať aj cez elektrickú sieť, do ktorej je pripojené technické zariadenie. Najčastejšie sa na takéto spojenia a krádeže informácií týmto spôsobom používajú napájacie zdroje, ktoré vyžarujú vysoké frekvencie. Na vykonanie ochranných opatrení sa používajú hlavne metódy zapojenia obvodov.

Za týmto účelom nainštalujte špecializované prepäťové ochrany, meniče a podobné zariadenia, ktoré chránia miestnosť pred zbytočnými vlnovými rázmi v elektrickej sieti. S vážnejším prístupom sú v chránenom a chránenom priestore inštalované samostatné transformátory, cez ktoré sa elektrina prenáša do budovy. Týmto spôsobom dochádza k najspoľahlivejšej ochrane informácií pred únikom cez technické kanály cez elektrickú sieť.

uzemnenie

Je tiež dôležité venovať pozornosť uzemneniu. Je veľmi dôležité správne nainštalovať všetky zariadenia a chrániť ich pred votrelcami. Vonkajšia inštalácia uzemnenia sa vykonáva v hĺbke viac ako jeden a pol metra. V budove musia byť inštalované tak, aby bolo možné pravidelne kontrolovať ich celistvosť a prítomnosť dodatočných pripojení.

Vzájomné vplyvy v komunikačných linkách

Je známe, že linky prenosu informácií sa môžu navzájom ovplyvňovať. Ovplyvňujúci obvod je obvod, ktorý vytvára primárny vplyv na elektromagnetické pole. Ďalej prichádzajú reťazce, na ktoré toto pole pôsobí. Okrem priameho vzájomného vplyvu obvodov existuje aj nepriamy vplyv, ktorý môže vzniknúť odrazom signálov. Vplyv môže byť systematický alebo náhodný.

V zásade vznikajú v dôsledku drôtov rovnakej veľkosti umiestnených v nadzemnom priestore. Náhodné vplyvy sa objavujú ako výsledok kombinácie okolností, ktoré nemožno odhadnúť ani predpovedať. Na vytvorenie podmienok expozície musí byť jeden kábel tienený, druhý nie. Z toho vyplýva, že technické stopy nie sú bezpečné a možno cez ne vykonávať technický prieskum kanálov úniku informácií. Keď sú káble poškodené alebo skorodované, čo sa v praxi stáva veľmi často, začnú vyžarovať silné signály do elektromagnetického poľa.

Ochrana proti nárazu

Zariadenie je možné chrániť pred vzájomným ovplyvňovaním. Na tento účel by sa mali prijať potrebné opatrenia, a to:

• Používajte prenosové systémy a komunikačné linky, ktoré majú minimálne ukazovatele vzájomného vplyvu. Problém môžete takmer úplne vyriešiť, ak nainštalujete iba optické vedenia a koaxiálne káble.
• Je racionálne zvoliť káble pre rôzne systémy, to znamená pokúsiť sa kompenzovať všetko rušenie medzi symetrickými vedeniami.
• Vykonajte tienenie obvodov s pružnými a pevnými clonami, čím sa zníži interakcia v dôsledku oslabenia intenzity elektromagnetického poľa cez clonu.

Ochrana pred špionážou v optických vedeniach a komunikačných systémoch

Práve optické spojenia sa stávajú technickými kanálmi pre únik akustických informácií. Existuje niekoľko dôvodov, prečo sa tieto kanály môžu stať dôvodmi straty a prenosu dôverných, dôležitých informácií narušiteľom:

• Spojené vlákna sú radiálne nesúladné.
• Osy svetlovodov sú v uhlovom type nezhodné.
• Medzi koncami svetlovodov sa vytvorila medzera.
• Povrchy koncov vlákien sú vzájomne nerovnobežné.
• Bol rozdiel v priemere jadier vlákien, ktoré sú navzájom spojené.

Vyššie uvedené dôvody sa môžu stať zdrojom vyžarovania svetelných signálov do elektromagnetického poľa v miestnosti. Z tohto dôvodu môže dôjsť k akusticko-optickému efektu. Na vlnovode sa objaví akustický tlak, v dôsledku čoho sa jeho hodnota môže zmeniť. Na ochranu technických kanálov úniku rečových informácií je v prvom rade potrebné určiť, prečo svetlo vzniká a šíri sa na fyzickej úrovni. Potom musíte zaistiť vlnovod, aby ste naň vylúčili akýkoľvek akustický vplyv.

Treba mať na pamäti, že optické vlákno pokrývajúce kábel môže ovplyvniť citlivosť svetlovodov v závislosti od materiálu, z ktorého je vyrobený, a hrúbky drôtu. Pre zabezpečenie zníženia citlivosti je možné vlákno pred inštaláciou potiahnuť špeciálnymi látkami, ktoré majú vysoké hodnoty objemových modulov pružnosti. Najčastejšie sa na to používa hliník, nikel alebo sklo.

Záver

V súčasnosti existujú rôzne spôsoby úniku informácií cez technické kanály. Vzhľadom na rozvoj informačných technológií a zvýšený počet príležitostí na priemyselnú špionáž sa každý podnik s dôvernými informáciami musí chrániť pred takýmito únikmi. Ak sa k problematike postavíte správne a použijete všetky druhy ochranných techník, môžete výrazne znížiť riziko úniku dôležitých informácií pre spoločnosť. Ak sa nevykonali všetky tieto metódy, potom sa s určitou frekvenciou oplatí kontrolovať všetky komunikačné prostriedky a možné technické kanály, aby sa detegovali a neutralizovali zariadenia, ktoré čítajú a prenášajú informácie.

V súčasnosti je absolútne nemožné predvídať, ako sa votrelci dostanú do chránených priestorov a nainštalujú špeciálne zariadenia na čítanie. Ale neustále monitorovanie a ochranné prostriedky môžu pred tým chrániť. Navyše, nástup tienených a reflexných antén značne zvýšil potenciál krádeže informácií. Preto je veľmi dôležité sledovať elektromagnetické pole v miestnosti a okolo nej. Akékoľvek prostriedky technickej špionáže je možné odhaliť a zneškodniť, hlavnou vecou je vysporiadať sa s týmto problémom a použiť dostupné technické prostriedky na to určené.

Únik informácií predstavuje veľké nebezpečenstvo pre mnohé podniky. Môže k nemu dôjsť v dôsledku zámeru tretích strán alebo nedbalosťou zamestnancov. Úmyselné zorganizovanie úniku sa uskutočňuje s dvoma cieľmi: prvým z nich je spôsobiť škodu štátu, spoločnosti alebo konkrétnemu podniku, tento cieľ je typický pre prejavy kyberterorizmu; Druhým cieľom je získať konkurenčnú výhodu.

K neúmyselnému úniku dochádza najčastejšie v dôsledku nedbanlivosti zamestnancov v organizácii, ale môže viesť aj k vážnym nepriaznivým následkom. Vytvorenie systému ochrany informačných aktív pred stratou vo firmách všetkých typov by malo byť realizované na profesionálnej úrovni s využitím moderných technických prostriedkov. Na to je potrebné poznať únikové kanály a spôsoby blokovania týchto kanálov, ako aj požiadavky na moderné bezpečnostné systémy.

Regulačný rámec

Všetky informačné polia sú rozdelené do dvoch hlavných skupín:

• podlieha ochrane v súlade s federálnymi zákonmi;
• podlieha ochrane v súlade s vnútornou politikou organizácie.

Prvá zahŕňa údaje obsahujúce štátne tajomstvá a ďalšie informácie stanovené federálnymi zákonmi. Ide o osobné údaje zamestnancov a zákazníkov chránené v súlade so zákonom o osobných údajoch. Ich nekontrolované šírenie môže byť škodlivé pre jednotlivca a jej bezpečnosť. Do tejto skupiny informácií patrí aj bankové tajomstvo, ktoré je chránené na základe zákona „O bankách a bankovej činnosti“ a niektoré ďalšie. Únik týchto informácií môže viesť k finančným škodám zákazníkov, ktoré môžu byť v regresnom príkaze posunuté na vinníka.

Keď organizácia pracuje s informáciami obsahujúcimi štátne tajomstvo, ktoré sú napríklad v niektorých štátnych zákazkách, je povinná dodržiavať osobitné režimy ochrany informácií, ktoré upravuje zákon o štátnom tajomstve. Súlad bezpečnostného systému organizácie s požiadavkami na prácu s takýmito informáciami je potvrdený licenciou vydanou FSB. Mala by ho dostať väčšina spoločností, ktoré sa zúčastňujú výberových konaní. Na jej získanie bude systém opatrení na ochranu pred únikmi skontrolovaný certifikačným centrom z hľadiska súladu so všetkými požiadavkami. Postup pri vydávaní preukazu upravuje nariadenie vlády č.333.

Obchodné a profesijné tajomstvo organizácie, o ktoré majú záujem jej konkurenti, je chránené v súlade s normami Občianskeho zákonníka a Zákonníka práce a internými predpismi spoločnosti. Najčastejšie oň majú záujem konkurenti firmy, ktorí ho môžu využiť v boji o výhody na trhoch, no môže mať samostatnú hodnotu aj pre zločinecké gangy.

Vytvorenie situácie pre odcudzenie informácií alebo samotný trestný čin sa stíha v súlade s Trestným zákonom, ktorý obsahuje § 183 „Nedovolené prijímanie a sprístupnenie informácií zakladajúcich obchodné, daňové alebo bankové tajomstvo“.

Únik a zachytávanie informácií

Z hľadiska terminológie je potrebné rozlišovať medzi únikom informácií a ich zachytením. Odpočúvanie je nezákonný spôsob osvojovania si informácií pomocou technických prostriedkov. Únik informácií je ich strata počas distribúcie prostredníctvom komunikačných kanálov a fyzického priestoru zo všetkých typov dôvodov, vrátane odpočúvania a presmerovania. Úmyselne vytvorený únik informácií cez technické kanály zahŕňa inštaláciu rôznych zariadení na spôsob ich distribúcie, ktoré ich zachytávajú.

V odbornej sfére sa tento pojem používa častejšie, v praxi sa pod touto definíciou rozumejú všetky typy únikov na základe ľudských aj technických faktorov. Nelegálny akt zaznamenania informácií obsahujúcich zákonom chránené tajomstvá na externé médium a ich prenesenie mimo firemný priestor je najčastejším spôsobom krádeže. Moderné systémy DLP sú teraz naladené hlavne na nebezpečenstvá prichádzajúce zo strany podnikového používateľa a nie na vonkajšie prieniky.

Príkladom takejto situácie bol prípad, keď Google zažaloval Uber za prijatie bývalého zamestnanca spoločnosti. Vrcholový manažér nelegálne skopíroval takmer všetky údaje súvisiace s vývojom bezpilotného prostriedku pod jeho vedením. Bezpečnostný systém, ktorý existuje v jednej z najväčších korporácií na svete, nedokázal zabrániť krádeži informácií spáchaných jedným z jej vrcholových manažérov. Súdne vyhliadky na náhradu spôsobenej škody sú zároveň vágne, keďže spoločnosť a zamestnanec zrejme neuzavreli dohodu, ktorá by v tomto prípade definovala mechanizmus náhrady škody. Ako obžalovaný bol vybraný Uber, ktorý sa stal beneficientom krádeže. Súbory mohli byť vrátené, ale informácie, ktoré obsahujú, mohli byť použité na vytvorenie konkurenčnej výhody.

Tento prípad naznačuje, že bez ohľadu na úroveň spoločnosti je riziko straty informácií pre každého rovnako závažné.

Ohrozené organizácie

Na základe vyššie uvedených kritérií pre chránené údaje existuje niekoľko typov podnikateľských subjektov, ktoré sa nachádzajú v hlavnej rizikovej zóne úniku informácií. toto:

• obchodné a nekomerčné, vedecké a iné organizácie pracujúce s informáciami, ktoré tvoria štátne tajomstvo, napríklad plnenie štátnej objednávky;
• organizácie, ktoré disponujú informáciami, ktoré by zločinecké spoločenstvá mohli potrebovať na páchanie teroristických činov, alebo ktoré sú zo svojej podstaty terčom teroristických útokov;
• organizácie pôsobiace na trhu finančných služieb, ktoré majú údaje o účtoch a financiách svojich klientov, čísla ich bankových kariet;
• organizácie pracujúce s veľkým množstvom osobných údajov, ktoré sa často stávajú obeťou hackerov a vstupujú na otvorený trh;
• organizácie, ktoré pri svojej práci využívajú nové technológie a know-how;
• akékoľvek organizácie pôsobiace na konkurenčných trhoch, kde sa dostupné informácie o technológiách, trhoch, zákazníkoch, stratégiách, zmluvách stanú metódou na dosiahnutie výhody v boji o klienta;
• organizácie, voči ktorým sa vedú spory o prerozdeľovaní majetku, alebo ktoré sú terčom útokov nájazdníkov. Odcudzenie dôležitých informácií môže byť v tomto prípade podkladom pre kontroly či podanie žalôb.

Všetci potrebujú dostupnými metódami zamedziť úniku informácií v maximálnej miere, keďže škodu v tomto prípade môže spôsobiť nielen priamo právnická osoba, ale aj neobmedzene široký okruh ľudí. V niektorých prípadoch môže byť spoločnosť zodpovedná za neprijatie ochranných opatrení. Každý kanál úniku informácií by sa mal analyzovať z hľadiska určenia jeho bezpečnosti a mal by sa čo najviac chrániť.

Technické kanály úniku informácií

Existuje päť hlavných skupín technických metód na organizáciu úniku informácií:

• vizuálne, umožňujúce zachytiť alebo skopírovať informácie premietnuté do vizuálnej podoby, to sú dokumenty, informácie zobrazené na obrazovke monitora počítača;
• akustické, čo vám umožní zachytiť prebiehajúce rozhovory alebo telefonické rozhovory v miestnosti;
• elektromagnetické, umožňujúce získať údaje vyjadrené vo forme žiarenia elektromagnetických vĺn, ich dekódovanie môže tiež poskytnúť potrebné informácie;
• materiál súvisiaci s rozbormi predmetov, dokumentov a odpadov vznikajúcich pri činnosti spoločnosti.

V každom prípade, keď konkurenti využívajú technický kanál úniku, používajú sa najaktuálnejšie metódy získavania a spracovania informácií a samotná znalosť existencie takýchto príležitostí by mala pomôcť znížiť úroveň rizika. Pre úplné odstránenie nebezpečenstva je potrebné komunikovať s profesionálmi, ktorí budú vedieť identifikovať najcennejšie dátové polia, ktoré sú cieľom prípadných útokov, a ponúknuť celú škálu ochranných nástrojov.

Vizuálno-optické prostriedky

Ak je cez okno kancelárie vidieť obrazovku monitora alebo časť dokumentov ležiacich na stole, hrozí zatekanie. Akýkoľvek svetelný prúd vychádzajúci z informačného zdroja môže byť zachytený. Na boj proti tejto metóde je potrebné vo väčšine prípadov použiť jednoduché technické prostriedky:

• zníženie reflexných charakteristík a zníženie osvetlenia predmetov;
• inštalácia rôznych bariér a prevlekov;
• používanie reflexných okuliarov;
• umiestnenie predmetov tak, aby svetlo z nich nespadalo do zóny možného odpočúvania.

Existuje však aj typickejšie riziko úniku informácií o druhu: vyberanie dokumentov z miestnosti na ich fotografovanie, iné formy kopírovania, snímky obrazoviek databáz obsahujúcich dôležité informácie a iné metódy. Hlavné opatrenia na boj proti týmto rizikám sa týkajú výlučne administratívnej a organizačnej sféry, aj keď existujú softvérové ​​nástroje, ktoré napríklad neumožňujú snímať obrazovku s údajmi zobrazenými na obrazovke monitora.

Akustické kanály

Informácie, ktoré existujú vo forme zvuku, sú najzraniteľnejšie voči zachyteniu a úniku. Zvuk, ktorý je v ultrarozsahu (viac ako 20 000 hertzov), sa šíri ľahko. Ak je v ceste prekážka, zvuková vlna v nej spôsobí vibrácie a tie budú snímané špeciálnymi zariadeniami. S touto vlastnosťou zvuku treba počítať už vo fáze projektovania budovy alebo kancelárie, kde by dispozičné riešenie priestorov architektmi malo byť premyslené tak, aby sa vylúčil únik informácií. Ak táto metóda nie je uskutočniteľná, je potrebné obrátiť sa na technické prostriedky a použiť materiály odrážajúce zvuk na dokončenie miestnosti, napríklad poréznu omietku. Na posúdenie stupňa bezpečnosti sa používajú stetoskopy.

Ak nie je možné dosiahnuť maximálnu absorpciu zvuku, možno použiť generátory hluku, ktoré je možné inštalovať po obvode hlavných stien budovy, ktoré nie sú chránené pred počúvaním, alebo v zasadacích miestnostiach.

Únik akustických informácií je možný aj pri použití hlasových záznamníkov počas rokovaní. Na zistenie ich prítomnosti sa používajú špeciálne zariadenia. Inštalácia zariadení na snímanie hlasového signálu na telefónnych prístrojoch (ploštice) sa v súčasnosti prakticky nepoužíva, digitálna prevádzka sa zachytáva iným spôsobom, a to aj prostredníctvom telefónneho operátora alebo poskytovateľa internetu. Tento stupeň rizika by sa mal tiež vziať do úvahy, napríklad vytvorením špeciálnych pokynov o dôverných informáciách, ktoré možno prediskutovať v telefonických rozhovoroch.

Elektromagnetické kanály a komunikačné kanály

Nebezpečné je aj zachytávanie informácií obsiahnutých v falošnom elektromagnetickom žiarení. Elektromagnetické vlny šíriace sa v elektromagnetickom poli na krátku vzdialenosť môžu byť tiež zachytené. Môžu pochádzať z:

• z telefónnych mikrofónov a interkomov;
• z hlavných uzemňovacích a napájacích obvodov;
• z analógovej telefónnej linky;
• z komunikačných kanálov z optických vlákien;
• z iných zdrojov.

Ich zachytenie a dešifrovanie nie je pre moderné technické prostriedky náročné.

Technológie umožňujú pripojiť vstavané zariadenia PEMIN (pojem znamená „bočné elektromagnetické žiarenie a rušenie“) priamo k napájacím obvodom alebo ich inštalovať do skrinky monitora alebo počítača, pričom môžu zachytávať údaje prostredníctvom vnútorných pripojení k doskám:

• zobrazené na obrazovke monitora;
• zadáva sa z klávesnice;
• výstup cez vodiče do periférnych zariadení (tlačiareň);
• zaznamenané na pevnom disku a iných zariadeniach.

V tomto prípade bude uzemnenie vodičov, tienenie najzrejmejších zdrojov elektromagnetického žiarenia, identifikácia záložiek alebo použitie špeciálneho softvéru a hardvéru na identifikáciu záložiek spôsobmi, ako sa s tým vysporiadať. Ale informácie prenášané cez internet sú k dispozícii na zachytenie. Tu je možné bojovať proti jeho krádeži hardvérovými aj softvérovými technickými prostriedkami.

Fyzické kanály

Bežný odpad alebo priemyselný odpad môže byť cenným zdrojom údajov. Chemická analýza odpadu opúšťajúceho kontrolované pásmo môže poskytnúť kritické informácie o zložení produktu alebo technológii výroby. Na vývoj systému boja proti tomuto riziku je potrebné komplexné riešenie vrátane využitia technológií spracovania odpadu.

Všetky uvedené spôsoby úniku informácií (okrem materiálu) vyžadujú pre zlodeja územnú dostupnosť zdroja, zóna prevádzky klasického zariadenia na odpočúvanie zvukovej či obrazovej informácie nepresahuje niekoľko desiatok metrov. Inštalácia zabudovaných zariadení na zachytávanie elektromagnetického žiarenia a akustických vibrácií by mala vyžadovať priamy prienik do objektu. Nevyhnutná je aj znalosť jeho usporiadania, môže si to vyžadovať nábor zamestnanca. Napriek tomu, že väčšina priestorov je vybavená monitorovacími kamerami, tieto metódy sa teraz používajú vo veľmi zriedkavých prípadoch.

Najvážnejšie nebezpečenstvo predstavujú moderné spôsoby krádeží s využitím možností internetu a s jeho pomocou pristupovať k dátovým archívom či hlasovej prevádzke.

Spôsoby, ako zabrániť úniku informácií

Pre účinnú ochranu pred všetkými vyššie uvedenými spôsobmi úniku je potrebné vypracovať systém bezpečnostných opatrení, ktorý zahŕňa dve hlavné skupiny akcií a opatrení:

• administratívne a organizačné opatrenia;
• technické a programové opatrenia.

Prvá aj druhá skupina opatrení si pred realizáciou vyžaduje povinnú konzultáciu s odborníkmi, najmä ak má spoločnosť v úmysle získať licenciu na prácu so štátnym tajomstvom. Používané technické prostriedky musia byť certifikované a schválené na obeh na území Ruskej federácie, na ochranu informácií je neprijateľné používať netestované ani zakázané, patriace do kategórie „spyware“. Ochrana informácií by mala byť založená len na legálnych metódach boja.

Bezpečnostný systém by mal byť navrhnutý komplexne, opierajúc sa o organizačné opatrenia. Všetky jeho prvky by mali tvoriť jeden komplex, ktorého kontrola nad výkonom by mala byť zverená kompetentným zamestnancom.

Zásady návrhu systému ochrany

Existujú určité zásady, na ktorých by mal byť založený komplexný systém opatrení na ochranu dôverných informácií pred únikom:

• kontinuita systému v priestore a čase. Použité metódy ochrany by mali nepretržite kontrolovať celý materiálový a informačný obvod, čím by sa malo zabrániť vzniku akýchkoľvek medzier alebo zníženiu úrovne kontroly;
• viaczónová ochrana. Informácie by mali byť zoradené podľa stupňa významnosti a na ich ochranu by sa mali použiť metódy rôznych úrovní vplyvu;
• uprednostňovanie. Nie všetky informácie sú rovnako dôležité, preto by sa na informácie najvyššej hodnoty mali uplatňovať najprísnejšie ochranné opatrenia;
• integrácia. Všetky komponenty systému musia vzájomne pôsobiť a byť riadené z jedného centra. Ak je spoločnosť holdingovou spoločnosťou alebo má viacero pobočiek, je potrebné zriadiť správu informačných systémov od materskej spoločnosti;
• duplicita. Všetky najdôležitejšie bloky a komunikačné systémy musia byť zdvojené, aby v prípade prelomenia alebo zničenia jedného z obranných spojov bolo nahradené riadiacim.

Budovanie systémov tejto úrovne nie je vždy potrebné pre malé obchodné firmy, ale pre veľké spoločnosti, najmä tie, ktoré spolupracujú s vládnym zákazníkom, je to naliehavá potreba.

Administratívne a organizačné opatrenia

Za ich dodržiavanie by mal zodpovedať šéf podniku, ako aj jeden z jeho námestníkov, ktorí majú na starosti bezpečnostnú službu. Takmer 70 % celkového stupňa informačnej bezpečnosti závisí práve od administratívnych a technických opatrení, keďže v činnosti komerčných špionážnych služieb je oveľa bežnejšie využívanie prípadov podplácania zamestnancov ako používanie špeciálnych technických prostriedkov na odcudzenie informácií, ktoré vyžaduje vysokú kvalifikáciu a sprístupnenie informácií tretím stranám sa priamo nezúčastňuje súťaže.

Vývoj dokumentácie

Všetky predpisy organizácie venované ochrane obchodného tajomstva a iných informácií musia spĺňať najprísnejšie požiadavky na podobné dokumenty potrebné na získanie licencie. Je to spôsobené nielen tým, že sú najrozvinutejšie, ale aj tým, že kvalitná príprava tohto typu dokumentácie umožní v budúcnosti obhájiť pozíciu spoločnosti na súde v prípade sporov o únik informácií.

Práca s personálom

Personál je najslabším článkom v akomkoľvek systéme na ochranu informácií pred únikmi. To vedie k potrebe venovať práci s ním maximálnu pozornosť. Pre spoločnosti pracujúce so štátnym tajomstvom je zabezpečený systém vydávania povolení. Iné organizácie musia prijať rôzne opatrenia, aby zabezpečili, že schopnosť pracovať s citlivými údajmi bude obmedzená. Je potrebné vypracovať zoznam informácií tvoriacich obchodné tajomstvo a vypracovať ho ako prílohu k pracovnej zmluve. Pri práci s informáciami obsiahnutými v databáze musia byť vyvinuté prístupové systémy.

Všetky kopírovanie a externý prístup k e-mailu musia byť obmedzené. Všetci zamestnanci musia byť oboznámení s návodom na prácu s informáciami obsahujúcimi obchodné tajomstvo a potvrdiť to podpisom vo vestníku. To im umožní v prípade potreby niesť zodpovednosť.

Prístupový režim, ktorý v objekte existuje, by mal zahŕňať nielen zaznamenávanie údajov všetkých návštevníkov, ale aj spoluprácu len s bezpečnostnými spoločnosťami, ktoré tiež spĺňajú všetky bezpečnostné požiadavky. Rovnako nebezpečná ako práca profesionálneho hackera môže byť aj situácia, keď má zamestnanec súkromnej bezpečnostnej služby v noci službu v zariadení, kde si zamestnanci pre pohodlie správcu systému zapisujú svoje heslá a nechávajú ich na ploche. alebo technické prostriedky odpočúvania zabudované v priestoroch.

Práca s dodávateľmi

Dosť často nie sú páchateľmi úniku informácií zamestnanci, ale protistrany firiem. Ide o početné poradenské a audítorské spoločnosti, firmy poskytujúce služby v oblasti vývoja a údržby informačných systémov. Ako pomerne kuriózny, aj keď kontroverzný príklad možno uviesť situáciu na Ukrajine, kde bola zakázaná práca viacerých dcérskych spoločností 1C z dôvodu podozrení, že by jej zamestnanci mohli ukradnúť dôverné účtovné informácie. Rovnaké nebezpečenstvo predstavujú dnes bežné cloudové CRM systémy, ktoré ponúkajú služby cloudového úložiska. Pri minimálnej miere ich zodpovednosti za bezpečnosť im zverených informácií nikto nezaručí, že celá databáza zákazníckych telefonátov zaznamenaná v systéme, keď je integrovaná s IP telefóniou, sa razom nestane korisťou konkurentov. Toto riziko je potrebné hodnotiť ako veľmi závažné. Pri výbere medzi serverovými alebo cloudovými programami by ste mali zvoliť ten prvý. Podľa Microsoftu sa tento rok zvýšil počet kybernetických útokov na cloudové zdroje o 300 %.

Rovnako je potrebné zaobchádzať so všetkými protistranami, ktoré požadujú prenos údajov tvoriacich obchodné tajomstvo k nim. Všetky zmluvy musia obsahovať podmienky, ktoré ukladajú zodpovednosť za jej zverejnenie. Pomerne často sa ceny majetku a akcií, audity, poradenské štúdie predávajú konkurenčným organizáciám.

Plánovanie a technické riešenia

Pri plánovaní architektúry priestorov, v ktorých sa konajú rokovania alebo sa nachádzajú chránené informácie, sa musia dodržiavať všetky požiadavky GOST na metódy ochrany. Zasadacie miestnosti by mali prejsť potrebnou certifikáciou, mali by sa používať všetky moderné spôsoby tienenia, materiály pohlcujúce zvuk a generátory hluku.

Technické prostriedky a systémy na zabránenie úniku

Na ochranu informácií pred únikom alebo krádežou je potrebné aplikovať široké spektrum hardvérových a technických opatrení. Moderné technické prostriedky sú rozdelené do štyroch skupín:

• inžinierstvo;
• hardvér;
• softvér;
• kryptografických.

Strojárstvo

Táto kategória ochranných prostriedkov sa používa v rámci realizácie plánovacích a architektonických riešení. Sú to zariadenia, ktoré fyzicky blokujú možnosť vstupu nepovolaných osôb do chránených objektov, kamerových systémov, alarmov, elektronických zámkov a iných podobných technických zariadení.

Hardvér

Patria sem meracie zariadenia, analyzátory, technické zariadenia, ktoré umožňujú určiť polohu zabudovaných zariadení, všetko, čo vám umožňuje identifikovať existujúce kanály úniku informácií, vyhodnotiť ich výkon, identifikovať významné charakteristiky a úlohu v situácii s možnou alebo vzniknutou stratou informácie. Medzi nimi sú indikátory poľa, merače rádiovej frekvencie, nelineárne lokátory, zariadenia na testovanie analógových telefónnych liniek. Na detekciu hlasových záznamníkov sa používajú detektory, ktoré detegujú rušivé elektromagnetické žiarenie a na rovnakom princípe fungujú aj detektory videokamier.

softvér

Toto je najvýznamnejšia skupina, pretože s jej pomocou je možné zabrániť prenikaniu neoprávnených osôb do informačných sietí, blokovať útoky hackerov a zabrániť odpočúvaniu informácií. Medzi nimi je potrebné poznamenať špeciálne programy, ktoré poskytujú systémovú ochranu informácií. Ide o systémy DLP a systémy SIEM, ktoré sa najčastejšie využívajú na vytváranie mechanizmov komplexnej informačnej bezpečnosti. DLP (Data Leak Prevention, systémy prevencie úniku dát) poskytujú úplnú ochranu pred stratou dôverných informácií. Dnes sú nakonfigurované hlavne na prácu s hrozbami vo vnútri perimetra, teda od používateľov podnikovej siete, a nie od hackerov. Systémy využívajú širokú škálu techník na identifikáciu bodov straty alebo transformácie informácií a sú schopné blokovať akýkoľvek neoprávnený vstup alebo prenos údajov, pričom automaticky kontrolujú všetky kanály ich prenosu. Analyzujú poštovú prevádzku používateľa, obsah lokálnych priečinkov, správy v instant messengeroch a ak zaznamenajú pokus o preposielanie údajov, zablokujú ho.

(Správa bezpečnostných informácií a udalostí) riadi informačné toky a udalosti v sieti, pričom udalosťou je akákoľvek situácia, ktorá môže ovplyvniť sieť a jej bezpečnosť. Keď k nej dôjde, systém samostatne navrhne riešenie na elimináciu hrozby.

Softvérový hardvér dokáže vyriešiť jednotlivé problémy a môže poskytnúť aj komplexné zabezpečenie počítačových sietí.

Kryptografický

Komplexná aplikácia celej škály metód ochrany môže byť nadbytočná, preto, aby ste mohli organizovať systémy ochrany informácií v konkrétnej spoločnosti, musíte si vytvoriť svoj vlastný projekt, ktorý bude optimálny z hľadiska zdrojov.

Array ( => Y => Y => Y => Y => presscenter => 23 => Array () => Array ( => Otype => linked_products => linked_service => linked_solutions) => /tlačové centrum/článok /#ELEMENT_ID#/ => - => - => - => => 1 => N => 1 => 1 => dmY => A => 3600 => Y => => Pole ( => 1) => => 1 => Stránka => => => 1 => 1 => 4761 => => /tlačové centrum/článok/ => N => => => => => => /tlač- centrum/článok/ => ACTIVE_FROM => DESC => ID => DESC [~DISPLAY_DATE] => Y [~DISPLAY_NAME] => Y [~DISPLAY_PICTURE] => Y [~DISPLAY_PREVIEW_TEXT] => Y [~IBLOCK_TYPE] => presscentrum [~IBLOCK_ID] => 23 [~FIELD_CODE] => Pole ( => =>) [~PROPERTY_CODE] => Pole ( => Otype => linked_products => linked_service => linked_solutions) [~DETAIL_URL] => /press -center/article/#ELEMENT_ID#/ [~META_KEYWORDS] => - [~META_DESCRIPTION] => - [~BROWSER_TITLE] => - [~DISPLAY_PANEL] => [~SET_TITLE] => Y [~SET_STATUS_404] => N [~INCLUDE_IBL OCK_INTO_CHAIN] => Y [~ADD_SECTIONS_CHAIN] => Y [~ACTIVE_DATE_FORMAT] => dmY [~CACHE_TYPE] => [~CACHE_TIME] => 3600 [~CACHE_GROUPS] => Y [~USE_PERMISSIONS] => N [~GROUP_PERMISSIONS ] => [~DISPLAY_TOP_PAGER] => N [~DISPLAY_BOTTOM_PAGER] => Y [~PAGER_TITLE] => Stránka [~PAGER_SHOW_ALWAYS] => N [~PAGER_TEMPLATE] => [~PAGER_SHOW_ALL] => Y [~CHECK_DATES] => Y [~ELEMENT_ID] => 4761 [~ELEMENT_CODE] => [~IBLOCK_URL] => /tlačové centrum/článok/ [~USE_SHARE] => N [~SHARE_HIDE] => [~SHARE_TEMPLATE] => [~SHARE_HANDLERS] => [~SHARE_SHORTEN_URL_LOGIN] => [~SHARE_SHORTEN_URL_KEY] => [~SEF_FOLDER] => /tlačové centrum/článok/ [~SORT_BY1] => ACTIVE_FROM [~SORT_ORDER1] => DESC [~SORT_BY2] => ID [~ SORT_ORDER2] => DESC =>)

Moderné technológie na ochranu pred únikom dôverných informácií

V súčasnosti sú automatizované systémy (AS) základom prakticky akéhokoľvek obchodného procesu, a to v komerčných aj vládnych organizáciách. Rozšírené používanie AS na ukladanie, spracovanie a prenos informácií zároveň vedie k prehĺbeniu problémov spojených s ich ochranou. Potvrdzuje to skutočnosť, že v posledných rokoch sa v Rusku aj v popredných zahraničných krajinách prejavuje tendencia zvyšovať počet informačných útokov, čo vedie k značným finančným a materiálnym stratám. Podľa Ministerstva vnútra Ruskej federácie sa tak počet počítačových trestných činov súvisiacich s neoprávneným prístupom k dôverným informáciám zvýšil zo šesťsto v roku 2000 na sedemtisíc v roku 2003.

Zároveň, ako poznamenávajú mnohé výskumné centrá, viac ako 80 % všetkých incidentov informačnej bezpečnosti je spôsobených internými hrozbami, ktorých zdrojom sú legálni používatelia systému. Predpokladá sa, že jednou z najnebezpečnejších hrozieb je únik dôverných informácií uchovávaných a spracovávaných v rámci AS. Zdrojom takýchto hrozieb sú spravidla bezohľadní alebo tým či oným spôsobom porušovaní zamestnanci spoločnosti, ktorí sa svojim konaním snažia spôsobiť organizácii finančnú alebo materiálnu škodu. To všetko nás núti pozrieť sa bližšie na oba možné kanály úniku dôverných informácií a dať tak čitateľovi možnosť zoznámiť sa s radom technických riešení na zamedzenie úniku dát.

Model narušiteľa použitý v tomto článku predpokladá, že potenciálnymi narušiteľmi môžu byť zamestnanci spoločnosti, ktorí majú legálny prístup k dôverným informáciám, aby mohli vykonávať svoje funkčné povinnosti. Účelom takýchto porušovateľov je preniesť informácie mimo AS za účelom ich následného neoprávneného použitia – predaj, zverejnenie vo verejnej sfére atď. V tomto prípade možno rozlíšiť nasledujúce možné kanály úniku dôverných informácií (obr. 1):

neoprávnené kopírovanie dôverných informácií na externé médiá a ich odstránenie mimo kontrolovaného územia podniku. Príkladmi takýchto médií sú diskety, CD-ROMy, Flash disky atď.;

vytlačenie dôverných informácií a odstránenie vytlačených dokumentov mimo kontrolovaného územia. Treba poznamenať, že v tomto prípade možno použiť lokálne tlačiarne, ktoré sú priamo pripojené k počítaču útočníka, aj vzdialené, ktoré interagujú cez sieť;

neoprávnený prenos dôverných informácií cez sieť na externé servery umiestnené mimo kontrolovaného územia podniku. Útočník tak môže napríklad preniesť dôverné informácie na externú poštu alebo súborové servery na internete a odtiaľ si ich stiahnuť doma alebo kdekoľvek inde. Narušiteľ môže na prenos informácií použiť SMTP, HTTP, FTP alebo akýkoľvek iný protokol v závislosti od nastavení filtrovania odchádzajúcich dátových paketov používaných v AS. Zároveň môže páchateľ, aby zamaskoval svoje činy, odosielané informácie najskôr zašifrovať alebo preniesť pod rúškom štandardných grafických alebo video súborov pomocou steganografických metód;

krádeže médií obsahujúcich dôverné informácie - pevné disky, magnetické pásky, CD-ROM atď.

Ryža. 1. Kanály úniku dôverných informácií

Predpokladá sa, že základom každého systému ochrany pred útokmi spojenými s únikom dôverných informácií by mali byť organizačné bezpečnostné opatrenia. V rámci týchto opatrení by mal podnik vypracovať a implementovať organizačné a administratívne dokumenty, ktoré definujú zoznam zdrojov dôverných informácií, možných hrozieb s nimi spojených, ako aj zoznam tých opatrení, ktoré je potrebné zaviesť na boj proti týmto hrozbám. Príkladom takýchto organizačných dokumentov môže byť koncepcia a politika informačnej bezpečnosti, popis práce zamestnancov spoločnosti atď. Okrem organizačných prostriedkov ochrany by sa mali použiť aj technické riešenia na blokovanie vyššie uvedených kanálov úniku dôverných informácií. Nižšie je uvedený popis rôznych spôsobov ochrany informácií, berúc do úvahy ich výhody a nevýhody.

Izolovaný automatizovaný systém na prácu s dôvernými informáciami

Podstatou jednej z prvých metód, ktorá sa začala využívať na ochranu pred únikom dôverných informácií, je vytvorenie dedikovaného autonómneho AS, pozostávajúceho z počítačového vybavenia potrebného na prácu s dôvernými informáciami (obr. 2). Zároveň je takýto AS úplne izolovaný od akýchkoľvek externých systémov, čo umožňuje vylúčiť možný únik informácií cez sieť.

Ryža. 2. Navrhnuté špeciálne izolované reproduktory
na spracovanie dôverných informácií

Reproduktory tohto typu sú vybavené systémami kontroly prístupu, ako aj systémami video sledovania. Vstup do priestorov JE sa vykonáva na špeciálne preukazy, pričom sa spravidla vykonávajú osobné prehliadky zamestnancov za účelom kontroly elektronických a papierových nosičov informácií. Aby sa zablokovala možnosť úniku informácií ich skopírovaním na externé médium, spravidla sa z počítačov AS odstránia všetky zariadenia, ktoré je možné použiť na zapisovanie informácií na takéto médium. Okrem toho sú všetky systémové bloky a porty počítačov zapečatené, aby sa vylúčila možnosť neoprávneného pripojenia nových zariadení. Ak je potrebné preniesť informácie mimo pridelených priestorov, tento postup vykonáva jeden alebo viacerí zamestnanci podľa prísne dohodnutých predpisov s použitím vhodného vybavenia. V tomto prípade sa na prácu s otvorenými informáciami, ako aj na prístup k internetovým zdrojom používa samostatný systém, ktorý nie je fyzicky žiadnym spôsobom spojený s AS, ktorý spracúva dôverné informácie.

Opísaný prístup sa spravidla používa v orgánoch štátnej správy na ochranu utajovaných skutočností. Umožňuje vám poskytnúť ochranu pred všetkými vyššie uvedenými kanálmi úniku dôverných informácií. V praxi však v mnohých komerčných organizáciách musí mať väčšina zamestnancov súčasne prístup k dôverným a verejným informáciám, ako aj k práci s internetovými zdrojmi. V takejto situácii by si vytvorenie izolovaného prostredia na spracovanie dôverných informácií vyžadovalo vytvorenie dvoch rovnocenných AS, z ktorých jeden bol určený len na spracovanie dôverných informácií a druhý na prácu s otvorenými dátami a internetovými zdrojmi. Tento prístup je zvyčajne nemožné implementovať kvôli jeho zjavnej redundancii a vysokej cene.

Aktívne monitorovacie systémy pre užívateľské pracovné stanice

Aktívne monitorovacie systémy sú špecializované softvérové ​​systémy určené na odhaľovanie neoprávnených akcií používateľov súvisiacich najmä s pokusom o prenos dôverných informácií mimo kontrolované územie podniku. Monitorovacie systémy pozostávajú z nasledujúcich komponentov (obr. 3):

senzorové moduly inštalované na užívateľských pracovných staniciach a zbierajúce informácie o udalostiach zaznamenaných na týchto staniciach;

modul na analýzu údajov zozbieraných senzormi s cieľom odhaliť neoprávnené akcie používateľov súvisiace s únikom dôverných informácií;

modul reagovania na zistené neoprávnené akcie užívateľov;

modul na ukladanie výsledkov prevádzky systému;

modul pre centralizovanú správu komponentov monitorovacieho systému.

Senzory monitorovacieho systému sú nainštalované na tých pracovných staniciach, kde používatelia pracujú s dôvernými informáciami. Na základe nastavení bezpečnostného správcu vám systémové senzory umožňujú kontrolovať prístup používateľských aplikácií k dôverným informáciám, ako aj obmedzovať akcie, ktoré môže používateľ s týmito informáciami vykonávať. Aktívne monitorovacie systémy umožňujú napríklad zakázať zaznamenávanie dôverných informácií na externé médiá, blokovať prenos informácií na externé sieťové adresy, ako aj tlač údajov.

Ryža. 3. Typická architektúra systémov pre aktívny monitoring užívateľských pracovných staníc

Príklady komerčných softvérových produktov, ktoré možno klasifikovať ako aktívne monitorovacie systémy, sú systém riadenia bezpečnostnej politiky Uryadnik (www.rnt.ru), systém kontroly prístupu DeviceLock (www.devicelock.ru) a monitorovací systém InfoWatch. » (www. infowatch.ru).

Výhodou použitia monitorovacích systémov je možnosť vytvorenia virtuálneho izolovaného prostredia na spracovanie dôverných informácií bez fyzického prideľovania samostatného AS na prácu s údajmi s obmedzeným prístupom. Systémy tohto typu navyše umožňujú programovo obmedziť výstup informácií na externé médiá, čo eliminuje potrebu fyzického odstraňovania zariadení na záznam informácií z počítačov, ako aj utesňovania portov a systémových jednotiek. Využitie aktívnych monitorovacích systémov však so sebou prináša inštaláciu dodatočného softvéru na každú pracovnú stanicu, čo môže potenciálne viesť k zvýšeniu náročnosti administrácie AS, ako aj k možným konfliktom pri fungovaní systémových programov.

Vyhradený segment terminálového prístupu k dôverným informáciám

Ďalším spôsobom ochrany pred únikom dôverných informácií je zorganizovať prístup k dôverným informáciám AS prostredníctvom sprostredkujúcich terminálových serverov. Pomocou tejto prístupovej schémy sa používateľ najskôr pripojí k terminálovému serveru, na ktorom sú nainštalované všetky aplikácie potrebné na prácu s dôvernými informáciami. Potom používateľ spustí tieto aplikácie v terminálovej relácii a začne s nimi pracovať, ako keby boli nainštalované na jeho pracovnej stanici (obr. 4).

Ryža. 4. Schéma inštalácie terminálového servera pre prístup k dôverným údajom

V procese práce v terminálovej relácii sa používateľovi posiela iba grafický obraz pracovnej oblasti obrazovky, zatiaľ čo všetky dôverné informácie, s ktorými pracuje, sú uložené iba na terminálovom serveri. Jeden takýto terminálový server môže v závislosti od konfigurácie hardvéru a softvéru súčasne obsluhovať stovky používateľov. Príkladmi terminálových serverov sú Microsoft Terminal Services (www.microsoft.com) a Citrix MetaFrame (www.citrix.com).

Praktické využitie technického riešenia založeného na terminálovom serveri umožňuje zabezpečiť ochranu pred neoprávneným kopírovaním dôverných informácií na externé médiá vďaka tomu, že všetky informácie nie sú uložené na pracovných staniciach, ale na terminálovom serveri. Podobne je zabezpečená aj ochrana pred neoprávnenou tlačou dokumentov. Používateľ môže vytlačiť dokument iba pomocou tlačiarne nainštalovanej v segmente terminálového prístupu. V tomto prípade je možné predpísaným spôsobom evidovať všetky dokumenty výstup na túto tlačiareň.

Použitie terminálového servera tiež umožňuje ochranu pred neoprávneným prenosom dôverných informácií cez sieť na externé servery mimo kontrolovaného územia podniku. Toto je dosiahnuté filtrovaním všetkých dátových paketov smerujúcich mimo segment terminálového prístupu, s výnimkou tých paketov, ktoré poskytujú prenos grafického obrazu pracovnej oblasti obrazovky do užívateľských staníc. Takéto filtrovanie môže byť implementované pomocou firewallu inštalovaného v bode spojenia segmentu terminálového prístupu so zvyškom AS. V tomto prípade budú všetky pokusy o nadviazanie spojenia z terminálového servera s internetovými uzlami zablokované. Zároveň samotná pracovná stanica môže mať neobmedzený prístup k internetovým zdrojom. Na výmenu informácií medzi používateľmi pracujúcimi v terminálových reláciách možno použiť vyhradený súborový server umiestnený v segmente terminálového prístupu.

Nástroje na analýzu obsahu pre odchádzajúce dátové pakety

Nástroje na analýzu obsahu poskytujú možnosť spracovať sieťovú prevádzku odoslanú mimo kontrolovanej oblasti s cieľom identifikovať možné úniky dôverných informácií. Spravidla sa používajú na analýzu odchádzajúcej pošty a webovej prevádzky odoslanej na internet. Príkladmi nástrojov na analýzu obsahu tohto typu sú systémy Dozor-Jet (www.jetinfo.ru), Mail Sweeper (www.infosec.ru) a InfoWatch Web Monitor (www.infowatch.com).
Takéto ochranné prostriedky sú inštalované v medzere medzi komunikačným kanálom medzi internetom a AS podniku, takže cez ne prechádzajú všetky odchádzajúce dátové pakety (obr. 5).

Ryža. 5. Schéma inštalácie nástrojov analýzy obsahu v AS

Pri analýze odchádzajúcich správ sú tieto rozdelené do servisných polí, ktoré sú spracované podľa kritérií stanovených bezpečnostným administrátorom. Nástroje na analýzu obsahu vám napríklad umožňujú blokovať dátové pakety, ktoré obsahujú kľúčové slová ako „tajné“, „dôverné“ atď. Tieto nástroje tiež umožňujú filtrovať správy odosielané na externé adresy, ktoré nie sú zahrnuté v podnikovej elektronickej systém.pracovný postup.

Výhodou tohto typu ochranných systémov je schopnosť monitorovať a obmedzovať prichádzajúcu aj odchádzajúcu premávku. Tieto systémy však nezaručujú 100% detekciu správ obsahujúcich dôverné informácie. Najmä, ak páchateľ pred odoslaním správu zašifruje alebo zamaskuje pod rúškom grafického alebo hudobného súboru pomocou metód steganografie, nástroje na analýzu obsahu budú v tomto prípade prakticky bezmocné.

Prostriedky kryptografickej ochrany dôverných informácií

Na ochranu pred únikom informácií možno kryptografické nástroje použiť aj na šifrovanie dôverných údajov uložených na pevných diskoch alebo iných médiách. V tomto prípade musí byť kľúč potrebný na dekódovanie zašifrovaných informácií uložený oddelene od údajov. Zvyčajne sa nachádza na externom vymeniteľnom médiu, ako je disketa, dotykový pamäťový kľúč alebo USB kľúč. Ak sa útočníkovi podarí ukradnúť médium s dôvernými informáciami, nebude ho môcť dešifrovať bez príslušného kľúča.

Uvažovaný variant kryptografickej ochrany neumožňuje blokovanie iných kanálov úniku dôverných informácií, najmä ak sa ich dopustí používateľ po získaní prístupu k údajom. S prihliadnutím na tento nedostatok vyvinul Microsoft technológiu správy prístupových práv RMS (Windows Rights Management Services) založenú na operačnom systéme Windows Server 2003. Podľa tejto technológie sú všetky dôverné informácie uložené a prenášané v zašifrovanej forme a je možné ich dešifrovanie iba na tých počítačoch a tých používateľov, ktorí na to majú právo. Spolu s dôvernými údajmi sa prenáša aj špeciálny súbor XML, ktorý obsahuje kategórie používateľov, ktorí majú povolený prístup k informáciám, ako aj zoznam akcií, ktoré môžu títo používatelia vykonávať. Takže napríklad pomocou takéhoto súboru XML môžete používateľovi zabrániť v kopírovaní dôverných informácií na externé médium alebo v ich tlači. V tomto prípade, aj keď používateľ skopíruje informácie na externý disk, zostanú zašifrované a na inom počítači sa k nim nedostane. Okrem toho vlastník informácií môže určiť časové obdobie, počas ktorého môže mať používateľ prístup k informáciám. Po uplynutí tejto doby je prístup používateľa automaticky zablokovaný. Správu kryptografických kľúčov, pomocou ktorých je možné dešifrovať dôverné dáta, vykonávajú RMS servery nainštalované v AS.

Je potrebné poznamenať, že na používanie technológie RMS musia mať pracovné stanice AS nainštalovaný klientsky softvér s integrovanou podporou pre túto technológiu. Microsoft napríklad zabudoval funkčnosť RMS do svojich vlastných klientskych softvérových produktov, Microsoft Office 2003 a Internet Explorer. Technológia RMS je otvorená a možno ju integrovať do akýchkoľvek softvérových produktov založených na súprave nástrojov na vývoj RMS SDK.

Nižšie je uvedený zovšeobecnený algoritmus na používanie technológie RMS na generovanie dôverných informácií používateľom „A“ a následné získanie prístupu k nim používateľom „B“ (obr. 6):

V prvej fáze si používateľ „A“ stiahne verejný kľúč zo servera RMS, ktorý sa neskôr použije na šifrovanie dôverných informácií.

Ďalej používateľ „A“ vygeneruje dokument s dôvernými informáciami pomocou jednej z aplikácií, ktoré podporujú funkcie RMS (napríklad pomocou programu Microsoft Word 2003). Potom si používateľ vytvorí zoznam subjektov, ktoré majú prístupové práva k dokumentu, ako aj operácie, ktoré môžu vykonávať. Tieto informácie o službe zapisuje aplikácia do súboru XML na základe značkovacieho jazyka rozšírených prístupových práv – eXtensible Rights Markup Language (XrML).

V tretej fáze aplikácia používateľa „A“ zašifruje dokument s dôvernými informáciami pomocou náhodne vygenerovaného kľúča symetrickej relácie, ktorý je zase zašifrovaný na základe verejného kľúča servera RMS. Vzhľadom na vlastnosti asymetrickej kryptografie môže tento dokument dešifrovať iba server RMS, pretože iba on má zodpovedajúci tajný kľúč. Zašifrovaný kľúč relácie sa pridá aj do súboru XML priradeného k dokumentu.

Používateľ odošle zašifrovaný dokument príjemcovi „B“ spolu so súborom XML obsahujúcim informácie o službe.

Po prijatí dokumentu ho používateľ „B“ otvorí pomocou aplikácie s funkciami RMS.

Keďže cieľ B nemá kľúč potrebný na jeho dešifrovanie, aplikácia odošle požiadavku na server RMS, ktorá obsahuje súbor XML a certifikát verejného kľúča používateľa B.

Po prijatí požiadavky RMS server skontroluje prístupové práva používateľa „B“ k dokumentu v súlade s informáciami obsiahnutými v súbore XML. Ak má používateľ povolený prístup, server RMS extrahuje zašifrovaný kľúč relácie zo súboru XML, dešifruje ho na základe svojho súkromného kľúča a znova zašifruje kľúč na základe verejného kľúča používateľa B. Použitie verejného kľúča používateľa zabezpečuje, že kľúč môže dešifrovať iba používateľ.

V ôsmom kroku server RMS odošle používateľovi B nový súbor XML obsahujúci šifrovaný kľúč relácie získaný v predchádzajúcom kroku.

V poslednom kroku aplikácia používateľa B dešifruje kľúč relácie na základe jeho súkromného kľúča a použije ho na otvorenie dokumentu obsahujúceho dôverné informácie. Aplikácia zároveň obmedzuje možné akcie užívateľa len na tie operácie, ktoré sú uvedené v XML súbore vygenerovanom užívateľom „A“.

Ryža. 6. Schéma interakcie uzlov na báze RMS technológie

V súčasnosti je technológia RMS jedným z najsľubnejších spôsobov ochrany dôverných informácií. Ako nevýhodu tejto technológie treba uviesť, že ju možno implementovať len v rámci platformy Microsoft Windows a len na báze tých aplikácií, ktoré využívajú funkcie RMS SDK.

Záver

V súčasnosti je jedným z najnaliehavejších problémov v oblasti informačnej bezpečnosti problém ochrany pred únikom dôverných informácií. Technické možnosti riešenia tohto problému, diskutované v článku, možno rozdeliť do dvoch typov. Prvý typ zahŕňa zmenu topológie chráneného AS vytvorením izolovaného systému na spracovanie dôverných informácií alebo oddelením segmentu terminálového prístupu k dôverným dátam v rámci AS. Druhou možnosťou technického riešenia je použitie rôznych prostriedkov ochrany AÚ, vrátane prostriedkov aktívneho monitorovania, obsahovej analýzy, ako aj prostriedkov ochrany kryptografických informácií. Výsledky analýzy týchto dvoch typov technických riešení ukázali, že každé z nich sa vyznačuje svojimi nevýhodami a výhodami. Výber konkrétneho ochranného nástroja závisí od mnohých faktorov vrátane topologických vlastností chráneného AS, typu aplikácie a všeobecného systémového softvéru nainštalovaného v systéme, počtu používateľov pracujúcich s dôvernými informáciami a mnohých ďalších. Zároveň je potrebné zdôrazniť, že najväčšiu efektivitu možno dosiahnuť integrovaným prístupom, ktorý zahŕňa využitie organizačných aj technických opatrení na ochranu informačných zdrojov pred únikom.

Bibliografia

1. Oficiálna štatistika počítačových zločinov spáchaných v Ruskej federácii podľa Štátneho informačného centra Ministerstva vnútra Ruska, 2004 (http://www.cyberpol.ru/statcrime.shtml).
2. Technický prehľad služieb správy práv systému Windows pre systém Windows Server 2003. Microsoft Corporation. novembra 2003. (http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx).
3. V.G. Gribunin, I.N. Okov, I.V. Turintsev, Digitálna steganografia, M: Solon-Press, 2002
4. V.A. Serdyuk, A.E. Sharkov, Ochrana informačných systémov pred hrozbami piatej kolóny //PCWeek, č. 34, 2003.

Ochrana proti úniku informácií - rozhodnutie CJSC "DialogueNauka"

Prostriedky ochrany pred únikom dôverných informácií

Ochrana dôverných informácií pred únikom je kľúčom k informačnému zdraviu každej spoločnosti, od malej právnickej firmy až po obrovský nadnárodný holding. Pri akomkoľvek druhu činnosti má každá spoločnosť určitý súbor informácií, ktoré sú základom existencie spoločnosti. Tieto informácie a tok dokumentov, ktoré im slúžia, sú obchodným tajomstvom spoločnosti a, samozrejme, vyžadujú ochranu pred únikmi a zverejnením. Pozrime sa, v akej forme takéto údaje existujú, aké sú kanály úniku dôverných informácií a čo spôsoby ochrany pred únikom dôverných informácií sa v praxi osvedčilo.

Informácie predstavujúce obchodné a finančné tajomstvo spoločnosti, ako aj súvisiace s osobnými údajmi zákazníkov a zamestnancov organizácie sú tzv. dôverné informácie. Dôverné informácie sú uchovávané ako súbor dokumentov, ktoré nie je možné meniť bez rozhodnutia vedenia spoločnosti. Dôverné informácie sú tiež neoddeliteľnou súčasťou toku dokumentov spoločnosti, a to interných aj externých (vrátane e-mailov). Tajné údaje spoločnosti sa využívajú v rôznych účtovných a obchodných aplikáciách potrebných pre bežné fungovanie modernej spoločnosti. Nakoniec má každá firma archív dokumentov na fyzických nosičoch – USB, CD a DVD diskoch. Tento krátky zoznam presne zachytáva, kde a ako sa uchovávajú citlivé údaje pre spoločnosti prakticky akejkoľvek veľkosti a vlastníctva. Je dôležité poznamenať, že v každej z opísaných fáz môžu zo spoločnosti „unikať“ dôverné informácie. Ako sa to stane?

Kanály na únik dôverných informácií možno rozdeliť do dvoch veľkých skupín: krádeže so zlým úmyslom (vrátane vnútorných rizík) a úniky v dôsledku nepozornosti alebo dohľadu personálu. Prax ukazuje, že absolútna väčšina únikov dôverných informácií je výsledkom chýb zamestnancov pri práci s dátami. Neznamená to, že hrozba zasvätených osôb a priemyselná špionáž môžu byť vylúčené, len to, že podiel takýchto incidentov je veľmi malý. Ak hovoríme o konkrétnych kanáloch úniku informácií, najrelevantnejšie za posledné dva alebo tri roky sú tieto:

• strata nechráneného dátového nosiča (flash disk, externý pevný disk, pamäťová karta, CD alebo DVD mechanika, laptop);
• náhodná infekcia pracovnej stanice spywarom (cez nezabezpečený prístup na internet alebo pri pripájaní infikovaných zariadení USB)
• technické chyby pri spracovaní dôverných informácií a ich zverejnení na internete;
• nedostatok obmedzenia prístupu zamestnancov k dôverným údajom;
• kybernetické útoky na dátové úložiská (útoky hackerov, zákerná infekcia vírusmi, červami a pod.).

do značnej miery diktované naliehavými problémami jej úniku. Hardvérové ​​a softvérové ​​systémy určené na riešenie úniku dát dostali všeobecný názov “DLP systémy” (z angl. Data Leakage Prevention - prevencia úniku dát). Takýmito prostriedkami ochrany informácií pred únikom sú väčšinou tie najzložitejšie systémy, ktoré kontrolujú a sledujú zmeny v dokumentoch a pohyb utajovaných skutočností v rámci firmy. Najpokročilejšie systémy sú schopné zabrániť neoprávnenej distribúcii a kopírovaniu celých dokumentov alebo ich častí, ako aj okamžite informovať zodpovedné osoby, keď zamestnanci vykonajú podozrivé transakcie s dôležitými dokumentmi. Bohužiaľ, takéto spôsoby ochrany informácií stále nedokážu zaručiť zatekanie a inštalácia a implementácia takýchto systémov sú pre klientsku spoločnosť spojené s obrovskými nákladmi. Faktom je, že prevádzka profesionálneho DLP systému si vyžaduje kompletný audit a analýzu súčasného workflow s jeho celkovou revíziou a zmenou. Súbor činností pred inštaláciou systému DLP je zvyčajne drahší a trvá dlhšie ako priama inštalácia a implementácia. Netreba dodávať, že hodnota dôverných informácií a reálne riziká ich úniku nie vždy zodpovedajú takýmto závažným bezpečnostným opatreniam.

My v SafenSoft veríme v iný prístup k ochrane citlivých informácií pred únikmi. Vytvárame ochranu, ktorá neporušuje súčasné algoritmy workflow vo firme, no zároveň chráni informácie pred neoprávneným prístupom, kopírovaním alebo modifikáciou. Zabrániť zbytočným ľuďom v prístupe k dôležitým dátam, chrániť informácie pred hackovaním a infekciou zvonku, eliminovať chybné kroky pri práci s informáciami, umožniť plnú kontrolu a monitorovanie akcií zamestnancov – naše produkty pre bezpečnosť podnikových informácií sú vytvorené podľa týchto princípov. SysWatch Enterprise Suite A DLP Guard. Majú všetky potrebné funkcie na zabránenie úniku informácií a nízke náklady a jednoduchá implementácia robia z produktov SoftControl ideálnu voľbu pre spoločnosti, ktoré chcú zefektívniť a zabezpečiť svoje podnikanie.

Pracovná stanica DLP Guard DLP Guard chráni informácie pred únikom monitorovaním a riadením činnosti personálu. Umožňuje skryté sledovanie a zaznamenávanie aktivity používateľov na počítačoch v podnikovej sieti. Umožňuje vysielať a nahrávať obrazovku pracovnej stanice, má zabudovaný keylogger (keylogger). Monitorovanie a kontrola akcií používateľa sa vykonáva v skrytom režime. DLP Guard je súčasťou balíka Enterprise Suite. Stiahnuť ▼ Kúpiť

Enterprise Suite Komplexný modulárny systém na ochranu pracovných staníc podnikovej siete. Efektívne bojuje proti vonkajším a vnútorným hrozbám informačnej bezpečnosti podniku. Blokuje malvér (vírusy, trójske kone, červy), chráni informácie pred neoprávneným prístupom, kontroluje, monitoruje a zaznamenáva aktivitu používateľov. Chráni pred útokmi hackerov a internými akciami votrelcov. Má centralizovanú správu prostredníctvom správcovskej konzoly. Nevyžaduje aktualizácie.