Захист інформації

В якості джерел загроз можуть бути: дії суб'єкта (антропогенні джерела  загроз); технічні засоби (техногенні джерела  загрози); стихійні джерела.

До антропогенним джерел загроз належать суб'єкти, дії яких можуть бути кваліфіковані як умисні чи випадкові злочину. До техногенних джерел загроз належать джерела, що визначаються технократичної діяльністю людини і розвитком цивілізації. До стихійних джерел загроз відносяться стихійні лиха або інші обставини, які неможливо або можливо передбачити, але неможливо запобігти при сучасному рівні людського знання і можливостей. Однак найбільшої шкоди інформації та інформаційних систем наносять неправомірні дії співробітників і комп'ютерні віруси. Американські фахівці стверджують, що до 85% випадків промислового шпигунства ведеться силами співробітників компанії, в якій це відбувається. У 2005 р. більш третини фінансових втрат і втрат даних в організаціях відбувалося з вини їх власних співробітників. Вирішення цих проблем належить до компетенції адміністрації та служби безпеки організації. При цьому рекомендується шифрувати навіть внутрішньофірмове листування.

Віруси представляють  широко поширене явище, що відбивається на більшості користувачів комп'ютерів, особливо працюючих в мережах  і з неліцензійним програмним забезпеченням. Віруси з'явилися в  результаті створення програм, які самозапускаються. Зовнішня схожість цих програм з біологією і медициною за характером впливу на програмно-технічні засоби сприяла появі таких термінів, як: вірус, зараження, лікування, профілактика, щеплення, доктор і ін. Процес впровадження вірусом своєї копії в іншу програму (системну область диска і т.д.) називається зараженням, а програма або інший об'єкт - зараженими. Віруси - це клас програм, незаконно проникають у комп'ютери користувачів і завдають шкоди їх програмного забезпечення, інформаційних файлів і навіть технічних пристроїв, наприклад, жорсткому магнітному диску. З розвитком мережевих інформаційних технологій віруси стали представляти реальну загрозу для користувачів мережевих і локальних комп'ютерних систем.

Віруси проникають і  в кишенькові персональні комп'ютери (КПК) Перша троянська програма для КПК (Backdoor.WinCE.Brador.a - утиліта прихованого дистанційного доступу) виявлена в серпні 2004 року. Вона може додавати, видаляти файли на КПК, а також пересилати їх автору вірусу. Програма-вірус зазвичай складається з унікальної послідовності команд - сигнатур (знаків) і поводжень, що дозволяє створювати виявляють їх програми-антивіруси. Деякі віруси не мають унікальних сигнатур і поведінки і можуть видозмінювати самих себе (поліморфні). Все більшу роль в області несанкціонованих впливів на інформацію, будівлі, приміщення, особисту безпеку користувачів та обслуговуючий персонал грають помилкові (в т.ч. випадкові) і навмисні дії людей.

3. Атаки, засновані на «дірках» операційної системи і програмного забезпечення

Найбільш поширеними віддаленими атаками є впливи, що використовують діри в операційних  системах і різному програмному  забезпеченні. І в цьому знову  ж таки немає нічого дивного. Справа в тому, що реалізувати таку атаку  легше легкого. Справжні хакери, які добре знаються на предметній області, пишуть спеціальні утиліти, що використовують відомі уразливості, і викладають їх в Інтернеті. Ну а далі будь-яка людина може завантажити їх до себе на комп'ютер і використовувати на свій розсуд. Але це ще не все. Атаки з використанням дір у програмному забезпеченні відносяться до одного з найнебезпечніших типів впливів на віддалений комп'ютер. Справа в тому, що багато з них дозволяють зловмисникові виконати на ПК жертви будь виконуваний код. А це, як ви, шановні читачі, розумієте, вкрай небезпечно.

Захист від атак з  використанням дірок в операційних  системах або програмному забезпеченні може бути тільки одна. Мова йде про  своєчасній установці всіх патчів і  оновлень від розробниками ОС і ПО. Саме з їх допомогою закриваються дірки, роблячи інструменти зловмисників марними. Правда, завжди залишається невеликий ризик того, що атака, організована хакером проти комп'ютера користувача, використовує ще невідому уразливість. Саме тому при роботі в Інтернеті бажано підтримувати режим анонімності, намагатися зробити так, щоб хакер зміг зібрати якомога менше інформації про використовуваної на комп'ютері системі.

4. Міжнародні стандарти захисту інформації

Критерії оцінки захисту  комп'ютера (англ. Trusted Computer System Evaluation Criteria, TCSEC) - стандарт Міністерства оборони США, що встановлює базові вимоги щодо контролю комп'ютерної безпеки вбудованої в обчислювальну систему. TCSEC використовувався, щоб оцінювати, класифікувати та обирати комп'ютерні системи які використовуються для обробки, зберігання та надання доступу до класифікованої інформації.

На TCSEC, часто посилаються  як на Оранжеву книгу, яка є основною в серії "веселкових публікацій". Перше видання було зроблене в 1983 Національним центром комп'ютерної  безпеки (NCSC). Пізніше перевидана у 1985. TCSEC було замінено у 2005 на міжнародний стандарт Критерії інформаційної безпеки.

За допомогою критеріїв  оцінки гарантовано захищених обчислювальних систем можна визначити сім класів захисту систем.

Клас D

Мінімальний захист (англ. Minimal protection). Цей клас зарезервований для тих систем, що були піддані оцінці, але в яких не вдалося досягти виконання вимог більш високих класів оцінок.

Клас C1

Вибіркового захисту (англ. Discretionary protection) Гарантовано захищена обчислювальна база (ТСВ) систем класу С1 забезпечує поділ користувачів і даних. Вона містить засоби управління, здатні реалізувати обмеження до доступу, щоб захистити проект або приватну інформацію і не дати іншим користувачам випадково читати або руйнувати їх дані. Передбачається, що середовище класу С1 є таким середовищем, у якому можуть кооперуватися користувачі, що обробляють дані, які належать до того самого рівня секретності.

Клас C2

Захист, заснований на керованому контролі доступом. Всі вимоги до класу С1 переносяться на клас С2. Крім того, системи цього класу реалізують структурно більш «тонке» управління доступом порівняно із системами класу С1 за рахунок додаткових засобів управління розмежуванням доступу і поширенням прав, а також за рахунок системи реєстрації подій (аудит), що мають відношення до безпеки системи і поділу ресурсів. Спеціально вводиться вимога щодо «очищення» ресурсів системи при повторному використанні іншими процесами.

Клас B1

Мандатний захист, заснований на присвоюванні міток об'єктам і суб'єктам, що перебувають під контролем ТСВ. Вимоги для систем класу В1 припускають виконання усіх вимог, які були необхідні в класі С2. Крім цього, необхідно навести неформальне визначення моделі, на якій будується політика безпеки, присвоювання міток даним і мандатним управлінням доступом іменованих суб'єктів до об'єктів. У системі необхідно мати засіб, що дозволяє точно і надійно присвоювати мітки експортованої інформації.

Клас B2

Структурований захист. Усі вимоги класу В1 мають виконуватися для системи класу В2. У системах класу В2 ТСВ заснована на чітко визначеній і формально задокументованій моделі, в якій управління доступом поширюється на всі суб'єкти й об'єкти даної системи автоматичної обробки даних. Крім цього, має бути проведений аналіз, пов'язаний із наявністю побічних каналів витоків. Необхідно провести розбивку структури ТСВ як за критичними із погляду захисту елементами, так і за некритичними. Інтерфейс ТСВ добре визначений, а її проект і реалізація виконані так, що вони дозволяють проводити ретельне тестування і повний аналіз. Механізми аутентифікації посилені, управління захистом передбачається у вигляді засобів, що призначаються для адміністратора системи і для оператора, а на управління конфігурацією накладаються жорсткі обмеження. Система відносно стійка до спроб проникнення в неї.

Клас B3

Домени безпеки. Усі  вимоги для систем класу В2 включені у вимоги до систем класу ВЗ. ТСВ  класу ВЗ має реалізовувати концепцію  монітора звертань, гарантовано захищеного від несанкціонованих змін, пошкодження і підробки, який обробляє всі звертання. Передбачається введення адміністратора безпеки системи, механізми контролю (аудит) розширені так, щоб забезпечити обов'язкову сигналізацію про всі події, пов'язані з можливим порушенням встановлених у системі правил безпеки. Обов'язковою також є наявність процедур, що забезпечують відновлення працездатності системи. Система даного класу найвищою мірою стійка відносно спроб проникнення в неї.

Клас A1

Верифіковоний проект. Системи  цього класу А1 функціонально еквівалентні системам класу ВЗ у тому відношенні, що і них не з'являються будь-які нові вимоги до політики забезпечення безпеки. Характерна риса систем даного класу — формальна специфікація проекту; і верифікації захисту, тобто високий ступінь впевненості в тому, що гарантовано захищена обчислювальна база реалізована правильно.

 

8. Практична частина
1. Захист БД

Для СУБД важливі три основні  аспекти інформаційної безпеки:

1) Конфіденційність полягає в  тому, що інформація не може  бути доступною для ознайомлення користувачами

2) Цілісність-полягає в тому, що  інформація не може бути доступна  для модифікації користувачем  або процесами (фізичними або  логічними)

3) Спостереженість - це властивість  інформації, що полягає в тому, що процес її обробки постійно  знаходиться під контролем певного керуючого органу

Розглянемо на прикладі бази даних  «Банки України»». Схема даних представлена на мал.1

 

 

Для того щоб задати пароль БД, Відкриваємо MS Access, натискаємо «Файл -> Открыть», обираємо з випадаючого вінка «Монопольно» (Мал.1) :

Натискаємо вкладку  «Работа с базами данных -> Задать пароль базы данных» (Мал.2):

 

 

Мал. 2

Далі для створення  груп користувачів натискаємо «Работа с базами данных -> Пользователи и разрешения» (Мал.3):

 

 

Мал. 3

 

Для створення груп користувачів натискаємо «Пользователи и группы»

та створюємо 3 групи (Мал.4):

1. Group_1 – має доступ до форм
2. Group_2 – має доступ до звітів
3. Group_3 – має доступ до запитів

 

 

Мал. 4

 

           Далі для кожної групи потрібно створити користувачів (Мал. 5):

4. User1
5. User2
6. User3

 

Мал. 5

 

Переходимо на вкладку  «Разрешения» та встановлюємо доступ:

7. до форм – Group_1 (Мал. 6):

 

 

Мал. 6

 

-  до звітів – Group_2 (Мал. 7):

 

 

Мал. 7

 

8. до запитів – Group_3 (Мал. 8):

 

Мал. 8

 

На вкладці «Изминение пароля» ми можемо поставити пароль (Мал. 9)

 

 

Мал. 9

 

Зробивши всі ці дії  при запуску БД маємо (Мал. 10-11):

 

 

Мал. 10

 

Мал. 11

 

 

 

2. Приклад комп’ютерного вірусу

Лістинг коду

9. program Project1;
11. uses
12.   Windows,
13.   classes,
14.   forms;
16. var i,j: Integer;
17. h: THandle;
18. wrct: TRect;
19. MWStruct: HDWP;
20. W: THandle;
21. WindowsList: TList;
22. begin
23. WindowsList:= TList.Create; // Список видимих вікон
24. while (true) do
25. begin
26. // Цикл перемiщення вікон
27. for i:= 0 downto -Screen.Width do
28. begin
29.   WindowsList.Clear;
30.   W:= GetWindow(GetDesktopWindow,GW_CHILD);
31.   while w<>0 do //запускаємо цикл пошуку всих видимих вікон
32.   begin
33.    // Якщо вікно видиме, то добавляємо його в список
34.    if IsWindowVisible(w) then WindowsList.Add(Pointer(w));
35.    w:=GetWindow(w, GW_HWNDNEXT); // шукаємо наступне вікно
36.   end;
37.   MWStruct:=BeginDeferWindowPos(WindowsList.Count-1); // починаємо переміщення
39.   if Pointer(MWStruct)<>nil then
40.   begin
41.     for j := 0 to WindowsList.Count-1 do // запускаємо цикл по всіх вікнах
42.     begin
43.     GetWindowRect(THandle(WindowsList[j]),WRct);
44.     MWStruct:=DeferWindowPos(MWStruct,THandle(WindowsList[j]),HWND_BOTTOM,
45.     WRct.Left+1, WRct.Top, Wrct.Right-WRct.Left, WRct.Bottom-WRct.Top,
46.     SWP_NOACTIVATE or SWP_NOZORDER );
47. end;
48.   EndDeferWindowPos(MWStruct);
49.   end;
50. end;
51. // Затримка в 10 с.
52. h:= CreateEvent(nil,true,false,'');
53. WaitForSingleObject(h,10000);
54. CloseHandle(h);
55. end;
56. WindowsList.Free;
57. end.