Содержание
Оглавление
Введение. Понятие и принципы работы троянских программ3
1 Разновидности троянских программ4
2 Способы обнаружения троянских программ6
3 Методы удаления троянских программ9
4 Современные средства защиты от троянских программ13
Заключение15
Список использованной литературы16
Выдержка из текста работы
В условиях рыночной экономики информация выступает как один из основных товаров. Успех коммерческой и предпринимательской деятельности связан с муниципальными, банковскими, биржевыми информационными системами информатизации торговли, служб управления трудом и занятостью, созданием банка данным рынка товаров и услуг, развитием центров справочной и аналитико-прогнозной информации, электронной почты, электронного обмена данными и др.
Как и любой другой товар информация может бы украдена или повреждена, поэтому проблема информационной безопасности приобретает особую остроту. Развитие правовой базы явно отстаёт от требований реальной жизни, а именно от уровня информационной безопасности.
Одной из актуальных задач, выдвигаемых развитием информационно — коммуникационных технологий, является необходимость обеспечения защищенности информационных систем и информационных ресурсов, а также автоматизированных ресурсов от внешних и внутренних угроз, препятствующих эффективному использованию информации гражданами, обществом и государством.
Интернет стремительно ворвался в жизнь каждого современного человека. Он связан с его учебой, развлечениями, работой. В виртуальном пространстве хранится множество важной личной информации о человеке, от которой зависит его финансовое и психологическое состояние. К сожалению, хищение ее всевозможными троянскими программами сегодня встречается все чаще и чаще. Далеко не все пользователи представляют, какую угрозу несут троянские программы для их персональных данных.
В данной дипломной работе будут рассматриваться проблемы защиты автоматизированной системы, под управлением операционной системы Windows XP, от вредоносных троянских программ.
1. Обоснование необходимости создания КСЗИ на предприятии
1.1 Правовые основы защиты информации на предприятии
Защита информации па предприятии осуществляется в соответствии с Законами и Нормативными актами действующего законодательства Украины.
К законодательным актам относятся Законы, Указы, постановления Кабинета Министров Украины (ПКМУ) и Государственные стандарты. К нормативным актам относятся рекомендации, положения, методические указания, разработанные уполномоченными организациями — например, документы ДСТСЗИ (Государственной службы специальной связи и защиты информации Украины).
Обработка информации на предприятии осуществляется в соответствии со следующими законодательными и нормативно-правовыми документами:
— Закон Украины «Об информации» от 02.10.1992 г.;
— Закон Украины «О защите информации в автоматизированных системах» от 31.05.2005 г.;
— Закон Украины «О научно-технической информации» от 25.06.1993г.;
— ПКМУ № 611 «О перечне сведений, которые не составляют коммерческую тайну» от 09.08.1993 г.;
— ПКМУ № 1126 «Об утверждении концепции технической защиты информации в Украине» от 08.10.1997 г.;
Государственные стандарты Украины:
— ДСТУ 3396.0-96 «Защита информации. Техническая защита информации. Основные положения»;
— ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок проведения работ»;
— НД ТЗИ 1.1-002-99 «Общие положения по защите информации в компьютерных системах от несанкционированного доступа»;
— НД ТЗИ 1.4-001-2000 «Типовое положение про службу защиты информации в автоматизированной системе»;
— Закон Украины «О защите от недобросовестной конкуренции» от 07.06.1996 г.;
— НД ТЗИ 2.5-004-99 «Критерии оценки защищённости информации в компьютерных системах от несанкционированного доступа»;
— НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа»;
— НД ТЗИ 3.7-001-99 «Методические указания по разработке технического задания по созданию комплексной системы защиты информации в автоматизированной системе»;
— НД ТЗИ 3.7-003-2005 «Порядок проведения работ по созданию комплексной системы защиты информации в информационных телекоммуникационных системах».
Помимо этих законодательных и правовых актов на предприятии разрабатываются внутренние документы:
— должностные инструкции;
— модель угроз информационной безопасности предприятия;
— модель нарушителя информационной безопасности предприятия.
В соответствии с НД ТЗИ 1.1-002-99 «Общие положения по защите информации в компьютерных системах от несанкционированного доступа» необходимость создания КСЗИ на предприятии определяется по результатам анализа сред функционирования предприятия, а именно, среды пользователей, информационной среды, физической среды и автоматизированной системы предприятия.
Основные сведения о предприятии
Предприятие предоставляет полный спектр услуг по покупке, продаже, а также обмену недвижимости.
Основной род деятельности агентства — это продажа первичного и вторичного жилья (однокомнатных, двухкомнатных и трехкомнатных квартир), новостроек, старых фондов, коттеджей, домов и домовладений, земельных участков, а также коммерческой недвижимости.
Также предоставляются услуги по съему, обмену и срочному выкупу недвижимости.
Тип предприятия — частное предприятие. Агентство недвижимости.
Название: «Миг»
1.2 Анализ среды пользователей
Штатная численность сотрудников: 31 человек.
Руководящий состав:
— директор;
— заместитель директора;
— главный бухгалтер.
Служащие:
— бухгалтер — 2 человека;
— юрист — 3 человека;
— секретарь-референт — 2 человека;
— секретарь-диспетчер — 2 человека;
— специалист по недвижимости (агенты) — 10 человек;
— системный администратор — 2 человека;
— специалист по работе с клиентами (менеджер) — 3 человека.
Вспомогательный персонал:
— уборщица — 2 человека;
— охранник — 2 человека.
Модель нарушителя (МН) информационной безопасности предприятия.
Под нарушителем ИБ подразумевается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия.
В соответствии с моделью, все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС, делятся на внешних и внутренних нарушителей.
Внутренним нарушителем может быть лицо из следующих категорий сотрудников:
— обслуживающий персонал;
— программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
— технический персонал (рабочие подсобных помещений, уборщицы);
— сотрудники предприятия, которые имеют доступ к компьютерному оборудованию.
Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (организация пропускного режима).
Предположения о квалификации внутреннего нарушителя формируется следующим образом:
— внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;
— знает специфику задач, решаемых обслуживающими подразделениями ИС предприятия;
— является системным программистом, способным модифицировать работу операционных систем;
— правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
— может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.
К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.
Внешний нарушитель осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.
Предположения о квалификации внешнего нарушителя формулируется следующим образом:
— является высококвалифицированным специалистом в области использования технических средств перехвата информации;
— знает особенности системного и прикладного ПО, а также технических средств ИС;
— знает специфику задач, решаемых ИС;
— знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;
— знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;
— может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и радиоканалов.
При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.
1.3 Физическая среда предприятия
Исследование среды функционирования предприятия.
Расположение предприятия: г. Одесса ул. Высоцкого, 6
Физическая характеристика здания (офиса).
Офис расположен в деловой части города, на первом этаже трехэтажного офисного здания. Занимает весь первый этаж здания. Общая площадь составляет 225м2, кабинетная система. Площади комнат: от 16.1м2. до 25м2. Высота потолка: 2,6м2. Имеется отдельный вход с улицы.
Здание с трех сторон окружено различными постройками, четвертая сторона выходит на автомобильную дорогу.
С запада, на расстоянии 25 метров, расположено высотное офисное здание с парковочной площадкой.
С южной стороны, на расстоянии 30 метров, расположено многоэтажное жилое здание.
С востока, на расстоянии 35 метров, расположено административное здание.
С севера расположена автомобильная дорога.
Второй и третий этажи здания заняты офисами предприятий, занимающимися юридической деятельностью.
Выход на крышу расположен на лестничной клетке пожарного выхода.
Толщина и состав стен, перегородок и перекрытий между этажами:
— толщина несущих стен — 0,5м;
— толщина перегородки — 0,3м;
— стены выполнены из железобетонных конструкций, высота перекрытий — 2,8м;
— материал перегородок — кирпич.
Окна — тройные металлопластиковые, размером 1×1,5м.
Всего — 20 окон.
Двери:
— входная (главный вход) — ширина 1,5м, выполнена из металла, толщиной 3см;
— внутренние — деревянные, толщина — 3см.
Всего дверей — 22 (20 внутренних).
Контроль доступа.
Контроль входа/выхода осуществляет администратор безопасности (охранник). Лица, не работающие на предприятии, попадают на территорию объекта только в сопровождении лица, работающего на объекте, с соответствующей записью в журнале посещения. При этом сотрудник на объекте может быть вызван по внутреннему телефону, установленному возле стола администратора безопасности. На входной двери расположен видеодомофон, телефон домофона находится на столе администратора безопасности.
Режим работы предприятия.
Предприятие функционирует 5 дней в неделю.
График работы предприятия с 09:00 до 20:00, с перерывом на обед с 12:00 до 13:00.
Режим работы сотрудников предприятия.
Администратора безопасности (охранники) — с 08.00 — до 21.00
Уборщицы — с 07.30 — до 10.00
Всех остальные сотрудников — с 09.00 — до 20.00
В период обеденного перерыва организация не занимается основной деятельностью, служба охраны, в соответствии с инструкцией по охране, обедает посменно.
Бухгалтерия — служба, которая занимается ведением бухгалтерской и налоговой отчётности, по совместительству выполняющая функции финансового отдела, тем самым, распределяя финансовые потоки внутренней и внешней среды организации.
Юридический отдел — организует совместно с другими подразделениями работу по заключению договоров, участвует в их подготовке, визирует договоры. Занимается юридическим консультированием и проведением правовой экспертизы различных документов, составляемых на предприятии.
Отдел по работе с клиентами — организует и проводит переговоры с клиентами, принимает заказы, оформляет договоры и другие документы, предлагает клиентам исполнения заказа, находит оптимальное решения (для клиента и для предприятия), осуществляет поиск и привлечение новых клиентов.
Служба охраны — отвечает за организацию и ведение пропускного режима на предприятии и охранной деятельности. Служба расположена в отдельном помещении.
Служба информационных технологий — занимается сбором, обработкой, хранением и представлением информации, обеспечивающей динамическую оценку и информационную поддержку принятия производственных решений на предприятии. Служба располагается в серверной комнате — это выделенное технологическое помещение со специально созданными и поддерживаемыми условиями для размещения и функционирования серверного и телекоммуникационного оборудования. Также выступает основным хранилищем информации на предприятии, в том числе основных баз данных, персональных данных и другой информации.
Рисунок 1 — План помещения предприятия
1.4 Автоматизированная система предприятия
Автоматизированная система данного предприятия представляет собой локализованный многомашинный многопользовательский комплекс, на котором обрабатывается информация разных категорий конфиденциальности.
В состав автоматизированной системы предприятия входят 16 рабочих станций и 1 сервер, объединенные в многоранговую локальную сеть.
Расположение рабочих станций и их численность:
— бухгалтерия- 2;
— юридический отдел -2;
— специалисты по недвижимости -6;
— директор -1;
— зам. директор-1;
— отдел по работе с клиентами-1;
— секретарь-референт -1;
— секретарь-диспетчер-1;
— серверная — 1;
— охрана-1.
Основу АС представляют собой рабочие станции с такими характеристиками:
Монитор: 19″ Samsung Sync Master 959NF
Процессор: Intel Core i3 -3220
Материнская плата: AsusP8H61-MLX3 PLUSR2.0
ОЗУ: Kingston DDR3-1333 2048MB PC3-10600 (KVR1333D3N9/2G)
Жесткий диск: Samsung 250GB 16MB 7200rpm 3.5″ SATAII (ST250DM001)
Видеокарта: Asus PCI-Ex GeForce GT 640 2048MB GDDR3 (128bit)
Другое:
DVD±RW;
Floppy 3,5»
МФУ LEXMARK X264dn
В соответствии с НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа» такая АС относится к классу «2», как локализованный многомашинный многопользовательский комплекс, на котором обрабатывается информация разных категорий конфиденциальности. [1]
Для автоматизации обработки используется общесистемное ПО.
Системное программное обеспечение.
На всех компьютерах предприятия используется операционная система семейства Windows, а именно Windows XP Professional Edition SP2x32.
Среди всех операционных Microsoft, именно эта система удовлетворяет все необходимые требования данного предприятия. Основной положительной характеристикой этой ОС является наличие встроенного Брандмауэра. Это позволяет использовать ОС без дополнительного программного обеспечения первое время, пока предприятие не приобретет более эффективный Брандмауэр.
Предприятие имеет лицензионные копии ПО, которые работают под управлением ОС семейства Windows. Поэтому использование, именно Windows XP Professional Edition SP2 , является более актуальным.
Прикладное (специальное) программное обеспечение:
Пакет офисных программ Microsoft Office 2007 (Word, Excel, Power Point, Outlook).
Система управления базами данных: Microsoft Access.
1.5 Информационная среда предприятия
Информация — это задокументированные или публично оглашенные сведения о событиях и явлениях, которые происходят в обществе, государстве и окружающей природной среде.
Анализируя источники информации на предприятии, можно выделить следующие:
а) Документы — документация предприятия или просто документы (входящие-исходящие, приказы, бизнес планы, деловая переписка и т.п.);
Документы — это самая распространенная форма обмена информацией, ее накопления и хранения. Важной особенностью документов является то, что они иногда являются единственным источником важнейшей информации, а, следовательно, их утеря, хищение или уничтожение может нанести непоправимый ущерб.
Разнообразие форм и содержания документов по назначению, направленности, характеру движения и использования является весьма заманчивым источником для злоумышленников, что, привлекает их внимание к возможности получения интересующей информации.
б) Базы данных — информационной система, содержащая упорядоченные и взаимосвязанные сведения об объектах и их признаках. В базах данных хранятся сведения о клиентах.
в) Информация на технических носителях.
Технические носители — это бумажные носители, кино- и фотоматериалы, магнитные носители, съемные носители, аудио- и видео-носители, распечатки программ и данных на принтерах и экранах компьютеров предприятия и др. Опасность утечки информации, связанная с техническими носителями, растет очень быстро и становится все более трудно контролируемой.
Исходя из анализа источников информации, можно сделать вывод, что на предприятии циркулирует информация являющейся конфиденциальной и, соответственно, ее необходимо защищать, так как утрата свойства конфиденциальности может понести за собой значительный материальный ущерб.
1.6 Модель угроз (МУ) информационной безопасности предприятия
Под угрозой обычно понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба чьим-либо интересам. В настоящее время известен обширный перечень угроз информационной безопасности АС.
Рассмотрение возможных угроз информационной безопасности проводится с целью определения полного набора требований к разрабатываемой системе защиты.
Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выявления возможных угроз, целесообразно проведение анализа этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты.
Необходимость классификации угроз информационной безопасности АС обусловлена тем, что хранимая и обрабатываемая информация в современных АС подвержена воздействию чрезвычайно большого числа факторов, в силу чего становится невозможным формализовать задачу описания полного множества угроз. Поэтому для защищаемой системы обычно определяют не полный перечень угроз, а перечень классов угроз.
Классификация возможных угроз информационной безопасности АС может быть проведена по следующим базовым признакам.
а) по природе возникновения:
1) естественные угрозы, вызванные воздействиями на АС объективных физических процессов или стихийных природных явлений;
2) искусственные угрозы безопасности АС, вызванные деятельностью человека.
б) по степени преднамеренности проявления:
1) угрозы, вызванные ошибками или халатностью персонала, например некомпетентное использование средств защиты, ввод ошибочных данных и;
2) угрозы преднамеренного действия, например действия злоумышленников.
в) по непосредственному источнику угроз:
1) природная среда, например стихийные бедствия, магнитные бури и пр.;
2) человек, например, путем подкупа персонала, разглашение конфиденциальных данных и т. п.;
3) санкционированные программные средства, например удаление данных, отказ в работе ОС;
4) несанкционированные программные средства, например заражение компьютера вирусами с деструктивными функциями.
в) по положению источника угроз:
1) вне контролируемой зоны АС, например перехват данных, передаваемых по каналам связи, перехват побочных электромагнитных, акустических и других излучений устройств;
2) в пределах контролируемой зоны АС, например применение подслушивающих устройств, хищение распечаток, записей, носителей информации и т. п.;
3) непосредственно в АС, например некорректное использование ресурсов АС.
г) по степени зависимости от активности АС:
1) независимо от активности АС, например вскрытие шифров криптозащиты информации;
2) только в процессе обработки данных, например угрозы выполнения и распространения программных вирусов.
д) по степени воздействия на АС:
1) пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС, например угроза копирования секретных данных;
2) активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС, например внедрение троянских программ.
е) по этапам доступа пользователей или программ к ресурсам АС:
1) угрозы, проявляющиеся на этапе доступа к ресурсам АС, например угрозы несанкционированного доступа в АС;
2) угрозы, проявляющиеся после разрешения доступа к ресурсам АС, например угрозы несанкционированного или некорректного использования ресурсов АС.
ж) по способу доступа к ресурсам АС:
1) угрозы, осуществляемые с использованием стандартного пути доступа к ресурсам АС, например незаконное получение паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированного пользователя;
2) угрозы, осуществляемые с использованием скрытого нестандартного пути доступа к ресурсам АС, например несанкционированный доступ к ресурсам АС путем использования недокументированных возможностей ОС.
з) по текущему месту расположения информации, хранимой и обрабатываемой в АС:
1) угрозы доступа к информации, находящейся на внешних запоминающих устройствах, например несанкционированное копирование секретной информации с жесткого диска;
2) угрозы доступа к информации, находящейся в оперативной памяти, например чтение остаточной информации из оперативной памяти, доступ к системной области оперативной памяти со стороны прикладных программ;
3) угрозы доступа к информации, циркулирующей в линиях связи, например незаконное подключение к линиям связи с последующим вводом ложных сообщений или модификацией передаваемых сообщений, незаконное подключение к линиям связи с целью прямой подмены законного пользователя с последующим вводом дезинформации и навязыванием ложных сообщений;
4) угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере, например запись отображаемой информации на скрытую видеокамеру.
Анализ опыта проектирования, изготовления и эксплуатации АС показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования АС.
Причинами случайных воздействий при эксплуатации АС могут быть:
— аварийные ситуации из-за стихийных бедствий и отключений электропитания;
— отказы и сбои аппаратуры;
— ошибки в программном обеспечении;
— ошибки в работе обслуживающего персонала и пользователей;
— помехи в линиях связи из-за воздействий внешней среды.
Для АС предприятия можно выделить следующие преднамеренные угрозы:
— НСД лиц, не принадлежащих к числу сотрудников предприятия, и ознакомление с хранимой конфиденциальной информацией;
— ознакомление сотрудников предприятия с информацией, к которой они не должны иметь доступ;
— несанкционированное копирование программ и данных;
— кража магнитных носителей, содержащих конфиденциальную информацию;
— кража распечатанных документов;
— умышленное уничтожение информации;
— несанкционированная модификация сотрудниками предприятия финансовых документов, отчетности и баз данных;
— отказ от авторства сообщения, переданного по каналам связи;
— отказ от факта получения информации;
— навязывание ранее переданного сообщения;
— разрушение информации, вызванное вирусными воздействиями;
— разрушение архивной информации предприятия, хранящейся на магнитных или съемных носителях;
— кража оборудования.
Виды угроз, реализуемые с использованием технических средств.
Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя:
— выход из строя (умышленный или неумышленный);
— несанкционированное либо ошибочное изменение конфигурации активного сетевого оборудования и приемно0передающего оборудования;
— физическое повреждение технических средств, линий связи, сетевого и каналообразующего оборудования;
— перебои в системе электропитания;
— отказы технических средств;
— установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты;
— хищение технических средств и долговременных носителей конфиденциальной информации вследствие отсутствия контроля над их использованием и хранением.
Угрозы, реализуемые с использованием программных средств.
Это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением несанкционированного доступа (НСД) к информации, хранимой и обрабатываемой в системе, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых программным обеспечением (ПО) информационной системе (ИС). Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение НСД к информации баз данных (БД) и файловых систем корпоративной сети, данным, хранящимся на автоматизированном рабочем месте (АРМ) операторов, конфигурации маршрутизаторов и другого активного сетевого оборудования.
В этом классе рассматриваются основные виды угроз с использованием программных средств:
— внедрение вирусов и других разрушающих программных воздействий;
— нарушение целостности исполняемых файлов;
— ошибки кода и конфигурации ПО, активного сетевого оборудования;
— анализ и модификация ПО;
— наличие ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;
— наблюдение за работой системы путем использования программных средств анализа сетевого трафика и утилит ОС, позволяющих получать информацию о системе и о состоянии сетевых соединений;
— использование уязвимостей ПО для взлома программной защиты с целью получения НСД к информационным ресурсам или нарушения их доступности;
— выполнение одним пользователем несанкционированных действий от имени другого пользователя;
— раскрытие, перехват и хищение секретных кодов и паролей;
— чтение остаточной информации в ОП компьютеров и на внешних носителях;
— ошибки ввода управляющей информации с АРМ операторов в БД;
— загрузка и установка в системе нелицензионного, непроверенного системного и прикладного ПО;
— блокирование работы пользователей системы программными средствами.
Исходя из анализа сред предприятия, можно сделать вывод о том, что:
На предприятии существует информацию, которую необходимо защищать.
Существуют угрозы защиты информации предприятия, которые могут быть реализованы через АС предприятия.
Принято считать, что, вне зависимости от конкретных видов угроз или их проблемно-ориентированной классификации, информационная безопасность АС обеспечена в случае, если для информационных ресурсов в системе поддерживаются основные свойства информации: конфиденциальность, целостность и доступность.
2. Постановка задачи защиты операционной системы Windows XP от троянских программ
2.1 Краткие сведения об операционной системе Windows XP
Операционная система Windows XP — одна из самых распространенных операционных систем корпорации Microsoft.
Она система Windows XP выпускается с октября 2001 года и является продолжением и развитием Windows 2000. Что говорит само название: XP — от англ. experience (опыт).
Windows XP является исключительно клиентским вариантом, подходит частным лицам для личного и рабочего пользования. Серверным вариантом этой системы является, выпущенная позже, Windows Server 2003. Обе операционные системы построены на платформе одного и того же ядра, поэтому развиваются и обновляются параллельно.
Наиболее распространенные версии операционной системы Windows XP: Windows XP Professional Edition и Windows XP Home Edition.
Windows XP Professional представляет собой операционную систему, предназначенную для использования в корпоративных целях, работы предприятий и предпринимателей. Особенностью данного Windows является шифрование файлов с помощью программы Encrypting File System, возможность центрального управления правами доступа и поддержка многопроцессорных систем, удаленный доступ к рабочему столу и т.п.
Windows XP Home — облегченная и урезанная версия XP Professional. В отличие от старшего брата, XP Home заметно дешевле, но при установке определенных программ и проведении обновлений, версию вполне можно расширить до полноценной XP Professional.
Структура операционной системы Windows XP.
Операционная система Windows XP построена на основе микроядра и её архитектуру нередко называют модифицированной архитектурой микроядра. С одной стороны, Windows XP обладает модульной структурой и компактным ядром, которое представляет базовые сервисы для других компонентов операционной системы. Однако в отличие от операционных систем, построенных исключительно на архитектуре микроядра, эти компоненты (например, диспетчер памяти или файловая система) выполняются не в пользовательском режиме, а в режиме ядра. Windows XP представляет собой многоуровневую операционную систему, в которой отдельные уровни подчиняются общей иерархии, где нижние уровни обеспечивают функциональность верхних уровней. Но, в отличие от строго иерархических систем, возможны ситуации, когда между собой могут общаться несмежные уровни.
На рис.2 показана структура системы Windows XP. Уровень абстракций аппаратуры (Hardware Abstraction Layer, HAL) взаимодействует непосредственно с оборудованием, скрывая детали взаимодействия операционной системы с конкретной аппаратной платформой для остальной части системы, HAL позволяет абстрагироваться от конкретного оборудования, которое в разных системах с одной и той же архитектурой может быть различным. В большинстве случаев, компоненты, выполняемые в режиме ядра, не работают непосредственно с аппаратным обеспечением, вместо этого они вызывают функции, доступные в HAL. Поэтому компоненты режима ядра могут создаваться без учета деталей реализации, специфичных для конкретной архитектуры, таких как размер кэша и количество подключенных процессоров. HAL взаимодействует с драйверами устройств, чтобы обеспечить доступ к периферийному оборудованию.
Кроме того, уровень абстракций аппаратуры взаимодействует с микроядром. Микроядро обеспечивает основные механизмы функционирования системы, такие как планирование выполнения потоков для поддержки других компонентов режима ядра. Микроядро управляет синхронизацией потоков, обслуживанием прерываний и обработкой исключений. Кроме того, микроядро позволяет не учитывать архитектурно-зависимые функциональные возможности, например, количество прерываний в различных архитектурах. Таким образом, микроядро и HAL обеспечивают переносимость операционной системы Windows XP, позволяя работать на самом разнообразном оборудовании.
Микроядро формирует только небольшую часть пространства ядра. Пространство ядра описывает среду выполнения, в которой компоненты могут получать доступ к системной памяти и службам. Компоненты, размещаемые в пространстве ядра, выполняются в режиме ядра. Микроядро предоставляет базовые услуги другим компонентам, размещенным в пространстве ядра.
Выше уровня ядра расположены компоненты режима ядра, отвечающие за администрирование подсистем операционной системы (например, диспетчер ввода/вывода и диспетчер виртуальной памяти). Все эти компоненты называются исполняющие или управляющие программы. На рис.1 показаны основные управляющие программы. Исполняющие программы предоставляют услуги пользовательским процессам через интерфейс прикладного программирования (API — application programming interface). Этот API носит название собственного API.
Рисунок 2.1 — Структурная схема операционной системы Windows XP
Диспетчер ввода-вывода обслуживает запросы ввода данных с аппаратных устройств и вывода на них. К устройствам ввода относятся клавиатура, мышь, микрофон и сканер; к устройствам вывода — монитор, принтер и акустическая система.
Драйвер устройства является программным компонентом операционной системы и взаимодействует непосредственно с аппаратными ресурсами. Драйвер располагает специфическим для данного устройств набором команд, предназначенных для выполнения запрашиваемых операций ввода/вывода.
Контрольный монитор безопасности обеспечивает правильность осуществления политики безопасности, а также позволяет точно настроить систему и корректно запустить ее.
Большинство пользовательских процессов обращаются не к функциям собственного API, а вызывают функции API, предоставляемые системными компонентами пользовательского режима, которые называют подсистемами операционной среды. Подсистемы операционной среды представляют собой процессы, выполняемые в пользовательском режиме, которые размещаются между исполняющей программой и остальной частью пространства пользователя, экспортируя API для определённой компьютерной среды.
На верхнем уровне архитектуры Windows XP расположены процессы, выполняемые в пользовательском режиме. К ним относятся широко распространённые приложения (например, текстовые процессоры, компьютерные игры и веб-обозреватели), а также динамически подключаемые библиотеки (DLL). Библиотеки DLL — это модули, предоставляющие процессам функции и данные. API подсистемы среды состоит из модулей DLL, динамически подключаемых при вызове функции в API подсистемы. Так как библиотеки DLL подключаются динамически, это позволяет повысить модульность приложений. В случае внесения изменений в реализацию функций в DLL, достаточно будет перекомпилировать только подключаемую библиотеку, а не все использующее её приложение.
Диспетчер виртуальной памяти создаёт схему управления памятью, позволяющую выделять каждому процессу собственное большое закрытое адресное пространство, объём которого может превышать доступную физическую память.
Диспетчер конфигурации отвечает за реализацию и управление системным реестром.
Диспетчер электропитания координирует события, связанные с электропитанием, генерирует уведомления системы управления электропитанием, посылаемые драйверам. Когда система не занята, диспетчер можно настроить на остановку процессора для снижения энергопотребления. Изменение энергопотребления отдельных устройств возлагается на их драйверы, но координируется диспетчером электропитания.
Диспетчер кэша повышает производительность файлового ввода/вывода за счёт сохранения в основной памяти дисковых данных, к которым недавно было обращение.
Диспетчер объектов создаёт, управляет и удаляет объекты и абстрактные типы данных исполнительной системы, используемые для представления таких ресурсов операционной системы, как процессы, потоки и различные синхронизирующие объекты.
В Windows XP также существуют специальные процессы пользовательского режима, называемые системными службами или службами Win32. эти процессы обычно выполняются в фоновом режиме, независимо от того, произошёл ли вход пользователя в систему, выполняя, как правило, роль приложений, работающих по схеме клиент/сервер.
Пакеты обновлений Windows XP.
Microsoft периодически выпускает пакеты обновлений (service packs) своих операционных систем, устраняющие выявленные проблемы и добавляющие новые возможности.
Windows XP Gold/SP0.
Поддержка Windows XP без установленных пакетов обновлений (Gold/SP0) закончилась 30 сентября 2004 года.
Пакет обновлений 1.
Пакет обновлений 1 (SP1) для Windows XP был выпущен 9 сентября 2002 года. Наиболее важными новшествами стали поддержка USB 2.0, возможность выбирать программы по умолчанию для просмотра Интернета, почты, обмена мгновенными сообщениями, а также различные реализации виртуальной машины Java.
Пакет обновлений 2.
Пакет обновлений 2 (Service Pack 2, SP2) был выпущен 6 августа 2004 года. SP2 добавил в Windows XP новые возможности, включая улучшенный фаервол; поддержку Wi-Fi с мастером настройки и Bluetooth. Данный сервис-пак внёс значительные изменения в безопасность Windows XP. Так, значительным изменениям подвергся встроенный фаервол, который был переименован в Брандмауэр Windows и теперь активирован для всех создаваемых соединений по умолчанию. Service Pack 2 включает в себя Центр обеспечения безопасности, который позволяет облегчить наблюдение за безопасностью системы, следя и напоминая пользователю о необходимости установить или обновить антивирус и операционную систему. Также были улучшены функции автозапуска при вставке компакт-диска или подключении флеш-карт и подобных устройств.
Пакет обновлений 3.
В начале августа 2007 года Microsoft начала бета-тестирование SP3 среди ограниченной группы бета-тестеров. Несмотря на то, что бета-версия была передана только избранным, её дистрибутив появился в пиринговых сетях. С 12 декабря 2007 года версия RC1 SP3 доступна для загрузки и тестирования всем желающим.
Окончательная версия Пакета обновлений 3 была представлена 21 апреля 2008 года, но только для бизнес-клиентов, таких как производители оригинального оборудования и подписчики MSDN и TechNet. Остальные пользователи смогли получить третий сервис-пак 6 мая.
Пакет может быть установлен только поверх пакета Service Pack 1 (SP1) или Service Pack 2 (SP2), и доступен только для 32-битной версии.
Включает в себя все обновления, выпущенные после выхода Windows XP Service Pack 2, а также ряд других новых элементов. Среди них функция защиты сетевого доступа (Network Access Protection) и новая модель активации, заимствованные у Windows Vista, кроме того, появилась улучшенная функция обнаружения так называемых маршрутизаторов-«чёрных дыр» и др.
Преимущества операционной системы Windows ХР:
а) Многопользовательская система. Разделение прав на доступа в различные каталоги и запуск программ и приложений. Так же, можно быстро сменить пользователя и запускать программы с правами другого.
б) Интерфейс. Внешний вид XP удобен и привлекателен. Многие программы и драйвера для дизайна своего личного Windows можно скачать в интернете (например: стили, бутскрины, плагины, логонскрины и т.д.). Возможна установка новых систем оформления. Каждый элемент стиля автономно настраивается.
в) Файловая система. Поддержка транзакции позволяет удобно и безбоязненно пользоваться файлами, свободно перемещать документы с места на место, не опасаясь внезапного сбоя системы или отключения питания. Данные не сотрутся, а останутся целы. Файловая система NTFS 5 дает возможность разделять атрибуты файлов и папок на доступ. Еще множество возможностей, связанных с шифрованием и сжатием определенных файлов и папок для экономии места на диске.
г) Защита. Ядро XP обезопасено разделением колец защиты. Ядро находится в первом кольце, откуда можно командовать оборудованием (ring1), а, например, в третьем кольце (ring3) находятся пользовательские приложения, и оттуда напрямую недоступно оборудование.
Для работы в операционной системе, помимо аккаунта администратора, следует создать еще один — ограниченный аккаунт, все операции следует проводить в нем. Если операционная система подвергнется вирусной или троянской атаке, то ущерб может быть ограничен из-за того, что приложения не смогут получит всех привилегий администраторского аккаунта.
д) Стабильность работы. Windows XP имеет точки восстановления. По этому, в случае краха системы, при вызове специалиста, возможно полное восстановление ваших программ, документов, любимых фото, музыки и видео.
Недостатки операционной системы Windows ХР:
а) Системные требования. XP достаточно ресурсоемкая система, требует наличия процессора с тактовой частотой не менее 500 МГц и более 128 Мб оперативной памяти.
б) Несовместимость комплектующих. Часто встречаются вопросы по поводу неподходящего «железа» на компьютер. На самом деле вопрос не в комплектующих, а в драйверах, за консультацией и корректной установкой которых лучше обращаться к специалисту.
в) Программная несовместимость. Так же, как и с драйверами, Windows XP бывает капризен и к программам.
Операционная система Windows XP является несовершенной и имеет ряд уязвимостей безопасности, то есть существует большая вероятность использования средств операционной системы для распространения троянских программ.
windows защита информация троянский
2.2 Общие сведения о троянских программах
Троянская программа (также — троян, троянец, троянский конь) — вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно.
Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.
Троянская программа может маскироваться под текстовый редактор, или под сетевую утилиту, или под любую из программ, которую пользователь пожелает установить на свой компьютер.
«Трояны» могут осуществлять самые разные вредоносные действия, в зависимости от того, какая задача перед ним поставлена.
В отличие от червей и вирусов, троянские программы не создают свои копии. Они проникают на компьютер, например, через электронную почту или через веб-браузер, когда пользователь посещает «зараженную» веб-страницу. Троянские программы запускаются при участии пользователя; они начинают выполнять свое вредоносное действие при запуске носителя или зараженной программы.
Разные троянские программы ведут себя на зараженном компьютере по-разному. Основными функциями «троянцев» является блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Кроме этого, троянские программы могут принимать или отправлять файлы, выполнять их, выводить на экран сообщения, обращаться к веб-страницам, загружать и устанавливать программы, перезагружать компьютер.
Злоумышленники часто используют «наборы» из разных троянских программ.
Для распространения троянских программ, злоумышленники размещают их на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылают с помощью служб обмена сообщениями (например, электронной почтой), проникают на компьютер через бреши безопасности или загружаются самим пользователем с адресов полученных одним из перечисленных способов.
Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы. Троянская программа может имитировать имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например, картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.
Она может в той или иной мере имитировать или даже полноценно выполнять задачу, под которую она маскируется (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).[2]
2.2.1 Основные вредоносные действия, выполняемые троянскими программами
— нарушение работы других программ (вплоть до повисания компьютера, решаемого лишь перезагрузкой, и невозможности их запуска);
— настойчивое, независимое от владельца предложение в качестве стартовой страницы спам-ссылок, рекламы;
— распространение по компьютеру пользователя порнографии;
— превращение языка тестовых документов в бинарный код;
— мошенничество (например, при открывании определённого сайта пользователь может увидеть окно, в котором ему предлагают сделать определённое действие, иначе произойдёт что-то труднопоправимое);
— бессрочная блокировка пользователя со стороны сайта, потеря банковского счета и т. п.;
— получение доступа к управлению компьютером и установке вредоносного ПО.
По выполняемым вредоносным действиям троянские программы можно условно разделить на следующие виды:
— утилиты несанкционированного удаленного администрирования (позволяют злоумышленнику удаленно управлять зараженным компьютером);
— утилиты для проведения DDoS-атак (Distributed Denial of Service — распределенные атаки типа отказ в обслуживании);
— шпионские и рекламные программы, а также программы дозвона;
— серверы рассылки спама;
— многокомпонентные «троянцы-загрузчики» (переписывают из Интернета и внедряют в систему другие вредоносные коды или вредоносные дополнительные компоненты).
На практике часто встречаются «программы-троянцы», относящиеся сразу к нескольким вышеперечисленным видам.
2.2.2 Основные виды троянских программ
а) Троянские утилиты удаленного управления (backdoor). Их действие очень похоже на обычные программы, используемые пользователями для удалённого управления своим компьютером. Но есть одно маленькое отличие — пользователь не знает о присутствии такой программы и все её действия происходят без его ведома. В результате, обладатель конкретной копии этого ПО способен без ведома пользователя совершать различные действия с системой пользователя — от выключения или перезагрузки компьютера до манипуляций с файлами. Из-за этого, эти троянские программы относят к одним из самых опасных.
б) Похитители паролей (trojan-psw). Троянец приступает к поиску файлов, содержащих соответствующую (это не только пароли, а возможно и информация о системе, номера счетов, файлы, коды активации другого ПО и т.д.) информацию сразу же после проникновения и инсталляции.
в) Trojan-Clicker — интернет-кликеры. Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts находящийся в папке Windows).
У злоумышленника могут быть следующие цели для подобных действий:
— увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
— организация DoS-атаки (Denial of Service) на какой-либо сервер;
— привлечение потенциальных жертв для заражения вирусами или троянскими программами.
г) Trojan-Proxy — троянские прокси-сервера. Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама через зараженные компьютеры.
д) Загрузчики (trojan-downloader). Производят несанкционированную загрузку вредоносных программ на компьютер пользователя без его ведома. После загрузки, программа либо записывается в автозагрузки, либо инсталлируется.
е) Установщики (trojan-dropper). Данные трояны устанавливают на компьютер-жертву программы, чаще всего вредоносные. Такие трояны состоят из основного кода и файлов. Основной код это и есть троянец, а файлы — это программы, которые он должен установить. Троянец записывает их в какой-нибудь каталог и устанавливает. Пользователь либо ничего не узнаёт об установки, либо получает уведомление об ошибке.
ж) Шпионские программы (trojan-spy). Такие трояны осуществляют шпионаж за пользователем: записывают информацию, набранную с клавиатуры, следят за запущенными программами, снимают рабочий стол, производят мониторинг общего состояния системы и так далее. В этой категории есть и «многоцелевые» троянские программы. К примеру, трояны, которые дают proxy-сервис удаленному злоумышленнику, но и не спускают глаз с пользователя.
з) Скрытие присутствия в операционной системе (rootkit). Это техника или программный код, использующийся для сокрытия присутствия в системе указанных объектов, таких как процессы, файлы, ключи реестра и другие. Rootkit детектируется как trojan, только если в rootkit-программе присутствует троянская составляющая.
и) Архивные бомбы (arcbomb). Когда архиватор пытается обработать этот архив, последний вызывает «нестандартные» действия первого. Работа компьютера может существенно замедлиться, либо он просто зависнет, а также жесткий диск может наполниться большим количеством «пустой» информации. Подобные «бомбы» разделяют на три типа: некорректный заголовок архива или испорченные данные (при анализе содержимого архива, приводят к неисправности в работе алгоритма разархивирования или архиватора), одинаковые файлы в архиве и повторяющиеся данные. Огромный файл, который содержит повторяющиеся данные, способен упаковываться в архив маленького размера. В итоге, 5 Гб данных можно сжать в 480 килобайтовый zip- или в 200 килобайтовый rar-архив. Если использовать специальные методы архивации, то даже при большое количество одинаковых файлов может практически не сказываться на размере архива.
При распаковке такой архивной бомбы, жесткий диск будет заполняться огромным количеством ненужной информации.
Таким образом, троянские программы, со всем их многообразием, представляют серьезную угрозу информационной безопасности АС, и требуется с ними бороться.
3. Разработка мероприятий по защите Windows XP от троянских программ
3.1 Основные способы защиты операционной системы Windows XP от троянских программ
ОС WINDOWS XP обладает встроенной системой безопасности, одним из компонентов которой является Брандмауэр.
Брандмауэр — это специальная программа (межсетевой экран), которая проверяет информацию, входящую в компьютер из локальной сети или Интернета, а затем либо отклоняет ее, либо пропускает в компьютер, в зависимости от параметров. Таким образом, брандмауэр помогает предотвратить атаки хакеров и вредоносных программ на компьютер.
Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения.
Если пользователь разрешает подключение, брандмауэр Windows создает исключение, чтобы не тревожить пользователя запросами, когда в будущем этой программе понадобятся данные.
В Microsoft Windows XP брандмауэр включен по умолчанию, то есть начинает работать сразу после установки системы.
Также операционная система и программное обеспечение Windows XP должны постоянно обновляться. Существует центр обновлений Windows — это услуга, предоставляемая Microsoft. Она обеспечивает обновления для операционных систем Microsoft Windows и его компонентов, включая Internet Explorer. Обновления предоставляются, когда эти обновления критические и необходимы во избежание эпидемий вируса. Центр обновления Windows можно настроить для автоматической установки обновлений, это гарантирует, что компьютер всегда будет иметь последние обновления и не будет подвержен уязвимости компьютерных червей и других вредоносных программ.
Контролируемый доступ к системе из сети. В Windows XP имеется встроенная функция системы безопасности, которая препятствует доступу злоумышленников, ограничивая права, предоставляемые пользователю, пытающемуся получить из сети доступ на ваш компьютер набором привилегий учетной записи «Гость».
Антивирусное программное обеспечение.
Антивирусные программы предназначены для защиты операционной системы от вредоносных программ, вирусов, троянов, червей и иногда даже от шпионских программ. Это вредоносное программное обеспечение может нанести значительный вред работе операционной системе компьютера. Антивирусное программное обеспечение защищает операционную систему от удаления файлов, от кражи персональных и конфиденциальных данных, от полного блокирования системы. Следовательно, выбор эффективной антивирусной программы является приоритетной задачей для защиты операционной системы.
Антивирусные программы проверяют файлы компьютера на наличие вирусов, червей и троянских программ. При обнаружении вредоносной программы антивирусная программа либо отправляет вирус в карантин (изолирует), либо полностью удаляет его до нанесения ущерба компьютеру и файлам.
Операционная система Windows XP не имеет встроенной антивирусной программы, но пользователь компьютера может самостоятельно выбрать и установить таковую. Так как новые вирусы обнаруживаются каждый день, очень важно использовать антивирусную программу с возможностью автоматического обновления. При обновлении программного обеспечения в список проверки добавляются новые вирусы, что защищает компьютер от новых атак. Устаревший список вирусов оставляет компьютер уязвимым для новых угроз.
Антитроянское программное обеспечение.
Наряду с антивирусными программами существуют и специализированные программы для борьбы с троянскими программами. Они называются антитроянскими программами.
Наиболее известными антитроянскими программами являются:
1. PC Door Guard;
2. Anti Trojan Elite;
3. Pest Patrol;
4. TrojanHunter;
5. Iparmor.
Рассмотрим основные функциональные особенности каждой из них.
Антитроянская программа «PC Door Guard».
Программа «PC Door Guard» предназначена для обнаружения и удаления компьютерных Win 32 вирусов типа Trojan,Back Door, Worm , Stealth (невидимые), Phantom (самовосстанавливающиеся), Script (VBS), Macro (word-exel) и других.
«PC Door Guard» проверяет на наличие вирусов память компьютера, файлы, системный реестр, системные области. Проверяются не только сами файлы, но и все «следы» жизнедеятельности вируса, точки запуска, системные процессы, окна (в том числе невидимые).
Мощный эвристический анализатор позволяет обнаружить практически все клоны, штаммы и мутации скрипт-вирусов, а также в некоторых случаях клоны вирусов у которых опубликованы исходники.
В состав программы входят: менеджер, сканер, средства раннего обнаружения вирусов (Monitor, Executor) и несколько диагностических утилит, позволяющих вручную самостоятельно выявить неизвестный вирус (Netstat, Sysinfo, File manager).
Программа определяет более 70000 вирусов и троянских программ, а также имеет возможность обнаружения их клонов и мутаций. Резидентный монитор постоянно проверяет запущенные процессы, изменения в реестре. Как только вы запустите вирус монитор немедленно остановит его процесс, предложит удалить вирус и восстановить все сделанные им изменения в реестре и системных файлах.
Сканер позволяет проверять диск целиком, выбранную директорию, или отдельный файл. Вы можете проверить файл или директорию непосредственно из проводника Windows, щелкнув в проводнике правой кнопкой мыши по обьекту и выбрав «Scan With PC DOOR GUARD». PC Door Guard (PDG) проверяет все распространенные типы архивов и самораспаковывающихся EXE файлов.
Цена: 29.95 USD
Резидентная программа «Anti Trojan Elite».
«Anti Trojan Elite» — программа для удаления всевозможных троянов, которая также поможет обезопасить работу на компьютере. Данная программа может сканировать, в поисках опасных файлов, жесткий диск или память ПК, обладает встроенным сетевым менеджером для мониторинга протоколов, имеет менеджер запущенных процессов, позволяет создавать резервные копии удаляемых файлов. Кроме того, в ней присутствует модуль оптимизации работы ПК и функция обновления программы через Интернет. Имеется поддержка работы со сжатыми файлами, защита реестра и т.д.
Цена: 39.95 USD
Программа для обнаружения троянских программ «Pest Patrol».
«Pest Patrol» — Один из самых мощных не антивирусов, а антитроянов — отлавливает всевозможные трояны. «Pest Patrol» может сканировать все файлы или только выбранные, включая запакованные в архивы. Он умеет проверять память на наличие в ней активных «паразитов», находит следы деятельности вредоносных программ в реестре и загрузочных областях, позволяет удалить любой обнаруженный троянский файл (а можно и не удалять, а поставить его на «карантин»), а также показывает уровень угрозы каждой обнаруженной «заразы».
Цена: 29.95 USD
Антитроянская программа «TrojanHunter».
«TrojanHunter» — программа для обеспечения безопасности работы. Имеется режим быстрого сканирования, продолжительностью менее минуты. С помощью этого режима можно провести «поверхностную» проверку системы, охватывающую лишь наиболее уязвимые и наиболее частые места расположения троянов. Помимо стандартных функций по защите и проверке системы, TrojanHunter имеет несколько дополнительных возможностей:
— подробное дерево активных процессов с возможностью просмотра всех подключенных к исполняемому файлу библиотек; менеджер автозагрузки с возможностью сортировки по месту расположения (сервис, реестр, списки автозгрузки, ini-файлы и т.д.);
— модуль мониторинга сетевой активности, модуль просмотра открытых окон, как скрытых, так и видимых;
— MemString — модуль, позволяющий не только отображать активные процессы, но и просматривать их действия в области памяти.
Как и любая другая серьёзная программа, «TrojanHunter» имеет систему автоматического обновления и подробную помощь.
Цена: 39.00 USD
Антитроянская программа «Iparmor».
Iparmor — антитроянская программа, которая обнаруживает и удаляет известные и неизвестные трояны. После запуска проверяет память и, если заметит подозрительное приложение, немедленно отключает. Позволяет просматривать все активные процессы, активные порты, список программ загружаемых при запуске Windows.
Цена: 24.95 USD
3.2 Разработка методики тестирования антитроянского программного обеспечения
На одной из рабочих станций данного предприятия, на свежеустановленной ОС Windows XP Professional SP2 будет проведено тестирование антитроянских программ на нахождение троянских программ. С помощью специальной программы резервного копирования с системного раздела диска будет сделан образ.
Затем будут доустанавливаться антитроянские программы и запущен поиск троянских программ, находящихся в тестовой коллекции троянских программ и записанной на CD-DVD диск.
3.3 Тестирование антитроянского программного обеспечения
Для дальнейшего тестирования мной отобрано 5 антитроянских программ.
Перечень выбранных для тестирования антитроянских программ:
1. PC Door Guard;
2. Anti Trojan Elite;
3. Pest Patrol;
4. TrojanHunter;
5. Iparmor.
В тестовую коллекцию включены следующие троянские программы:
— Trojan-Downloader.JS.Psyme;
— Trojan-Downloader.JS.Remora;
— Trojan-Downloader.JS.Agent;
— DoS.JS.Dframe;
— Trojan-Clicker.JS.Agent;
— Trojan-Downloader.HTML.Agent;
— Trojan.VBS.Qhost.
По окончанию поиска операционная система будет восстанавливаться из файла-образа, и на нее будет установлена новая антитроянская программа из списка, а сканирование тестовой коллекции будет проведено с привлечением вновь установленной антитроянской программы.
Тестирование антитроянских программ будет проводиться по четырем критериям:
— по качеству поиска троянских программ;
— по времени сканирования;
— по стоимости;
— по потреблению ресурсов ОС.
Результаты тестирования будут систематизироваться в таблице 3.1.
Таблица 3.1 — Сравнительная характеристика антитроянских программ Качество поиска троянских программ, %
Потребление ресурсов ОС, % |
Время сканирования, сек |
Стоимость, USD |
Качество поиска, % |
||
PC Door Guard |
25 |
18 |
29,95 |
88 |
|
Anti-Trojan |
44 |
2 |
39,95 |
79 |
|
Pest patrol |
27 |
7 |
29,95 |
79 |
|
Trojan Hunter |
38 |
2 |
39 |
76 |
|
Iparmor |
26 |
5 |
24,95 |
56 |
Результаты тестирования.
Наилучшие результаты тестирования показала программа PC Door Guard.
Она превосходит сравниваемые антитроянские программы по таким критериям тестирования:
— наивысшее качество поиска троянских программ — 88%;
— наименьшее потребление ресурсов ОС;
— приемлемая цена.
Средние результаты показали антитроянские программы: Pest Patrol, Anti-Trojan и Trojan Hunter. Программы Anti-Trojan и Trojan Hunter показали приблизительно одинаковые результаты.
Наихудшие результаты показала антитроянская программа Iparmol. Качество поиска троянских программ составляет всего — 56%. Так как качество поиска является самым важным критерием тестирования, по результатам тестирования программа Iparmol не подходит для защиты данного предприятия.
Основываясь на результатах тестирования, мной принято решение использовать антитроянскую программу PC Door Guard для защиты АС данного предприятия от троянских программ.
3.4 Разработка мероприятий по защите ОС Windows XP от троянских программ
3.4.1 Организационные мероприятия по защите информации на предприятии
Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:
— ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер;
— ограничение возможности перехвата информации вследствие существования физических полей;
— ограничение доступа к информационным ресурсам и другим элементам системы обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;
— проведение профилактических и других мер от внедрения троянских программ.
Для информационной безопасности предприятия важно, чтобы на предприятии строго соблюдались должностные инструкции, приказы и распоряжения, связанные с организацией труда, проводился инструктаж по техники безопасности предприятия.
К числу административных мероприятий по защите предприятия от троянских программ относятся:
— создание политики информационной безопасности предприятия;
Политика безопасности предприятия — это совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации на предприятии.
В политике безопасности должны быть указаны ответственные лица за безопасность функционирования фирмы, полномочия и ответственность отделов и служб в отношении безопасности, организация пропускного режима, использование программно-технических средств защиты предприятия и т.д.[3]
— разработка контроля над введением должностных инструкций сотрудников с учетом соблюдения требований политики безопасности;
— разграничение доступа к информации;
Такой компонент, как разграничение доступа к информации, задается одним из важных элементов системы комплексной защиты информации. В основе ее построения лежит положение о том, что каждый из членов трудового коллектива должен обладать только теми сведениями, которые необходимы ему в силу выполняемых обязанностей. В этом случае только руководитель имеет доступ ко всем материалам, независимо от их важности.
— запрет использования на предприятии неучтенного программного обеспечения и неучтенных съемных носителей.
3.4.2 Технические мероприятия по защите информации на предприятии
а) Использование аппаратного межсетевого экрана (фаервола) для предотвращения распространения троянских программ из Глобальной сети.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также, сетевые экраны часто называют фильтрами, т.к. их основная задача — не пропускать (фильтровать) пакеты не подходящие под критерии, определенные в конфигурации.
б) Использование аппаратных генераторов одноразовых паролей для доступа к особо ценной информации.
Одноразовые пароли — это пароли, действительные только для одного сеанса аутентификации. Преимущество одноразового пароля по сравнению с обычным состоит в том, что одноразовый пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.
Одноразовый пароль используются для аутентификации однократно, что значительно ослабляет риски, связанные с перехватом пароля. Учитывая, что человек не в состоянии запомнить необходимое количество одноразовых паролей, пользователю необходимо иметь при себе список таких паролей или используются специальные устройства для их генерации. Автономные генераторы одноразовых паролей не требуют подключения к компьютеру и установки дополнительного программного обеспечения и могут использоваться в любых операционных системах, а также при доступе к защищенным ресурсам с мобильных устройств и терминалов, не имеющих USB-разъема или устройства чтения смарт-карт.
3.4.3 Программные мероприятия по защите информации на предприятии
а) Установка и использование антивирусных программ и антитроянских программ.
Обязательны установка и использование двух этих типов программ, так как использование одной из них не обеспечит необходимого уровня защищённости операционной системы. Так как не все антивирусные программы способны определить большое количество троянских программ.
б) Регулярное обновление операционной системы рабочих станций предприятия.
Корпорация Microsoft периодически выпускает специальные обновления безопасности, которые могут помочь защитить компьютер. Эти обновления могут предотвратить атаки троянских программ на компьютер, закрывая потенциально опасные точки входа. Необходимо убедиться, что Windows получает данные обновления, включив функцию автоматического обновления Windows.
в) Регулярное обновление сигнатурных баз антивирусного программного обеспечения, установленного на рабочих станциях предприятия.
г) Регулярное обновление сигнатурных баз антитроянского программного обеспечения.
д) Использование программного фаервола, в случае возможности использования аппаратного фаервола.
Использование аппаратного фаервола ограничивает сетевые возможности рабочих станций предприятия, так как настраиваемые параметры будут одинаковы для всех, а при использовании программного фаервола можно настраивать сетевые возможности отдельно каждой рабочей станции.
е) Резервное копирование особо важной информации предприятия.
Резервное копирование — процесс создания копии данных на носителе (жёстком диске.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.
Резервное копирование необходимо для обеспечения возможности быстрого и недорогого восстановления информации (документов, программ, настроек и т.д.) в случае утери рабочей копии информации по какой-либо причине, в том числе при атаке троянскими программами.
ж) Сегментация жесткого диска.
Сегментация жесткого диска (разбивка диска на разделы) — процесс создания на диске разделов определенного размера для изоляции операционной системы и данных, изоляции разных операционных систем, организации отдельного хранилища для резервных копий или мультимедийного контента и т.п.
Разделение жесткого диска на части проводится с целью отделения критической информации от общедоступной информации.
з) Использование шифрования данных.
Шифрование — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней. Главным образом, шифрование служит задачей соблюдения конфиденциальности передаваемой информации. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного преобразования из совокупности возможных для данного алгоритма.
4. Охрана труда и расчет экономической эффективности затрат на мероприятия по защите ас предприятия от троянских программ
4.1 Охрана труда на предприятии
Человек воздействует на окружающую природную среду посредством своей предметной деятельности.
Деятельность является необходимым условием существования человека и человеческого общества. Формы деятельности многообразны.
Труд — является высшей формой деятельности человека.
Модель процесса деятельности в наиболее общем виде можно представить обобщенной системой, состоящей из двух взаимосвязанных элементов: человек и среда его обитания. Задачей равновесного существования системы «человек — среда обитания» является достижение следующих целей:
— обеспечение положительного эффекта в плане повышения производительности труда и, как следствие — комфортности жизни человека;
— исключение нежелательных последствий деятельности человека на окружающую среду и здоровье настоящего и будущего поколений.
В соответствии с Законом Украины «Об охране труда», работодатель обязан обеспечивать безопасные условия труда каждому из своих работников. Но и работники не должны оставаться в стороне. Они в процессе осуществления трудовой деятельности, во-первых, обязаны заботиться не только о личной безопасности и здоровье, но и о безопасности и здоровье окружающих людей, во-вторых, знать и выполнять требования нормативно-правовых актов по охране труда, правила обращения со средствами производства и многое другое.
Согласно ст. 1 Закона «Об охране труда», охрана труда — это система правовых, социально-экономических, организационно-технических, санитарно-гигиенических и лечебно-профилактических мероприятий и средств, направленных на сохранение жизни, здоровья и трудоспособности человека в процессе трудовой деятельности.
4.1.1 Организация охраны труда на предприятии
Для осуществления организации охраны труда на предприятии необходимо распределить обязанности каждой из сторон.
Работодатель обязан создать на рабочем месте в каждом структурном подразделении условия труда согласно нормативно-правовым актам, а также обеспечить соблюдение требований законодательства относительно прав работников в области охраны труда (ОТ). С этой целью работодатель обеспечивает функционирование системы управления ОТ, а именно:
— создает соответствующие службы и назначает должностных лиц, обеспечивающих решение конкретных вопросов ОТ, утверждает инструкции об их обязанностях, правах и ответственности за выполнение возложенных на них функций, а также контролирует их соблюдение;
— с участием сторон коллективного договора разрабатывает и реализует комплексные меры по достижению установленных нормативов и повышению существующего уровня ОТ;
— обеспечивает выполнение необходимых профилактических мероприятий в соответствии с изменяющимися обстоятельствами;
— обеспечивает надлежащее содержание здания, где находится предприятие, оборудования и устройств предприятия, мониторинг за их техническим состоянием;
— организует проведение аудита ОТ, лабораторных исследований условий труда, оценку технического состояния оборудования и устройств, аттестаций рабочих мест на соответствие нормативно-правовым актам по ОТ;
— разрабатывает и утверждает положения, инструкции, другие акты по ОТ, действующие в пределах предприятия и устанавливающие правила выполнения работ и поведения работников на территории предприятия, обеспечивает сотрудников предприятия нормативно-правовыми актами и актами предприятия по ОТ;
— осуществляет контроль за соблюдением сотрудниками правил обращения с рабочими станциями, выполнением работ согласно требованиям по ОТ;
— организует пропаганду безопасных методов труда и сотрудничество с сотрудниками в области ОТ;
4.1.2 Общие требования безопасности
Любой объект материального мира, содержащий энергетические, химические или биологические, активные компоненты характеризуется той или иной степенью опасности. Таким образом, эта характеристика является неотъемлемой формой их существования.
Потенциальная опасность является универсальным свойством процесса взаимодействия человека со средой обитания на всех стадиях жизненного цикла.
Во время работы с оборудованиями, основным является персональная электронно-вычислительная машин (ПЭВМ), на человека возможно воздействие следующих опасных и вредных факторов:
а) физических:
— низкочастотные электрические и магнитные поля;
— статическое электричество;
— лазерное и ультрафиолетовое излучение;
— повышенная температура;
— ионизация воздуха;
— опасное напряжение в электрической сети;
б) химических:
— пыль;
— вредные химические вещества, выделяемые при работе принтеров и копировальной техники;
в) психофизиологических:
— напряжение зрения и внимания;
— интеллектуальные и эмоциональные нагрузки;
— длительные статические нагрузки и монотонность труда.
4.1.3 Расчет опасных излучений от монитора персонального компьютера
Когда все устройства ПК включены, в районе рабочего места оператора формируется сложное по структуре электромагнитное поле. Реальную угрозу для пользователя компьютера представляют электромагнитные поля. Как показали результаты многочисленных научных работ, монитор ПК является источником:
— электростатического поля;
— слабых электромагнитных излучений в низкочастотном и высокочастотном диапазонах (2 Гц — 400 кГц);
— рентгеновского излучения;
— ультрафиолетового излучения;
— инфракрасного излучения;
— излучения видимого диапазона.
Последствия регулярной работы с компьютером без применения защитных средств:
— заболевания органов зрения (60% пользователей);
— болезни сердечно-сосудистой системы (60%);
— заболевания желудочно-кишечного тракта (40%);
— кожные заболевания (10%);
— различные опухоли.
Время работы на персональном компьютере по санитарным нормам не должно превышать 4 часа, но данные нормы не соблюдаются, протяженность рабочего дня составляет 8 часов. Большинство используемых мониторов не соответствуют стандарту защиты пользователя от излучений (мониторы с электроннолучевой трубкой). Мониторы данного типа имеют, на расстоянии 5 см от экрана дисплея до пользователя, мощность дозы рентгеновского излучения 100 мкР/час. Рассчитаем, какую дозу рентгеновского излучения получит пользователь на различном расстоянии от экрана дисплея (результаты представлены в Таблице 4.1).
, где
— мощность дозы рентгеновского излучения на расстоянии r, мкР/час;
— уровень мощности дозы рентгеновского излучения на расстоянии 5 см от экрана дисплея, мкР/ч.
m — линейный коэффициент ослабления рентгеновского излучения воздухом, см-1;
r — расстояние от экрана дисплея, см;
Возьмем
Таблица 4.1 — Результаты расчета дозы рентгеновского излучения
r, см |
55 |
110 |
220 |
330 |
440 |
550 |
660 |
770 |
880 |
990 |
1100 |
|
P, мкР/ч |
1100 |
773 |
553 |
339 |
228 |
221 |
115 |
111 |
88 |
96 |
44 |
Среднестатистический пользователь располагается на расстоянии 50 см от экрана дисплея. Рассчитаем дозу облучения, которую получит пользователь за смену, за неделю, за год.
Таблица 4.2 — Результаты расчета дозы получит пользователь
За смену |
8 часов |
8*21 |
168 мкР |
|
За неделю |
5 дней |
5*168 |
840 мкР |
|
За год |
44 рабочие недели |
44*840 |
36960 мкР |
Установленное нормами предельное значение годовой дозы — 5 мЗв или 0,5 Р.
4.2 Расчет экономической эффективности затрат на мероприятия по обеспечению информационной безопасности предприятия
Экономическая эффективность системы определяется затратами на создание и поддержание технической системы безопасности АС предприятия к ущербу, который может быть получен в случае ее отсутствия.
Для защиты информации в АС предприятия «Миг» расчет экономической эффективности будет производиться на основе следующих входных данных:
— Расчёт эффективности производится путём распределения стоимости защиты информации в АС на определенный период времени, который должен быть выбран в соответствии с особенностями предприятия.
Предприятие «Миг» небольших размеров, но чистая прибыль предприятия в год в среднем составляет 350 тысяч гривен. Это позволяет создавать комплекс технической системы для защиты предприятия от троянских программ.
Эквивалентный ущерб, определённый экспертами, рассчитывается по каждой угрозе на промежуток равный одному году.
Затраты на ввод в действие рассчитываются единовременным образом, и распределяются на себестоимость услуг, на срок равный сроку амортизации, т.е. 10 лет.
Затраты на обслуживание рассчитываются на годовой период.
Сумма эквивалентного ущерба угроз безопасности определяется исходя из частной модели угроз. При потере клиентской базы предприятие понесет ущерб на сумму приблизительно 100 000 гривен.
Определение затрат на ввод в эксплуатацию системы безопасности информации с учетом установки и настройки требуемой системы.
Расчет затрат на приобретение программного и аппаратного обеспечения для защиты предприятия от троянских программ:
— антитроянская программа с лицензией на год, на 16 рабочих станций и 1 сервер;
239 грн * 17 рабочих станций = 4063 грн
— антивирусная программа с лицензий на год, на 16 рабочих станций и 1 сервер;
395 грн * 17 рабочих станций = 6715 грн
— аппаратный фаервол (межсетевой экран) стоимостью 2760 грн.
2760 грн / 10 лет = 276 грн
4063 грн + 6715 грн + 276 грн = 11054 грн
Общая сумма программного и аппаратного обеспечения для защиты предприятия от троянских программ на год, составляет 11054 грн.
Затраты на обслуживание данной системы включают в себя ввод в штат персонала сотрудника, который будет отвечать за безопасность, своевременное обновление и устранение проблем связанных с существующей системой. Сумма затрат составит среднестатистическую зарплату системного администратора 2000 грн./мес.
Затраты на систему защиты информации в годовой период можно рассчитать как сумму затрат на ввод в действие в расчёте на год и затрат на обслуживание:
Общие затраты в расчете на год — 11054+2000= 13054 грн, при расчёте на год.
Для ввода системы защиты информации АС предприятия в действие — необходимо включить в себестоимость продукции затраты на сумму 13054 грн, т.е. около 4% от чистой прибыли организации, и 13% от эквивалентной меры ущерба.
Таким образом, применение системы защиты информации является экономически выгодным, поскольку, в условиях современной рыночной экономики, троянские программы наносят колоссальный ущерб АС предприятий.
Выводы
В процессе решения задач по защите информации, обрабатываемой в АС предприятия, были проанализированы особенности функционирования предприятия, исследованы его физическая среда, среда пользователей, информационная среду и автоматизированная система предприятия.
На основе этого анализа определены наиболее активные угрозы информации АС предприятия и обоснована необходимость создания КСЗИ на предприятии.
Основной целью атаки на рабочие станций АС предприятия является получение данных, обрабатываемых, либо локально хранимых на предприятии. Одним из самых опасных средств вредоносных атак для АС предприятия являются троянские программы.
Троянские программы — одна из наиболее опасных угроз безопасности компьютерных систем. Радикальным способом защиты от этой угрозы является создание замкнутой среды исполнения программ. Никакая другая программа с такой большой вероятностью не приводит к полной компрометации системы, и ни одна другая программа так трудно не обнаруживается.
В связи с этим, для защиты информации, хранящейся на рабочих станциях предприятия от троянских программ, необходимо использовать комплекс программ, например, встроенный брандмауэр Windows, внешний фаервол, антивирусную программу и антитроянскую программу. Использование лишь одного из указанных средств не обеспечит необходимого уровня защищенности информационной безопасности предприятия.
Список литературы
1. НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа».
2. С.А. Белоусов, А.К.Гуц, С. Планков — «Троянские кони. Принципы работы и методы защиты».
3. Шаньгин В.Ф. — «Защита компьютерной информации. Эффективные методы и средства».
4. Кей Фейнштайн — «Защита ПК от спама, вирусов, всплывающих окон и шпионских программ».
5. Соколов А.В., Степанюк О.М. — «Защита от компьютерного терроризма».
6. Малюк А.А., Пазизин С.В., Погожин Н.С. — «Введение в защиту информации в автоматизированных системах».
7. Гайкович В.Ю., Ершов Д.В. — «Основы безопасности информационных технологий».
8. О. В. Казарин — «Теория и практика защиты программ».
9. К. В. Ржавский — «Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем».
10. Домарев В.В. — «Безопасность информационных технологий. Методология создания систем защиты».
Размещено на