Практическое занятие 1/4. Информационная безопасность информационных сетей

Практическое занятие 1/4. Информационная безопасность информационных сетей ОВД

Учебные вопросы 1. Основы безопасности компьютерных сетей. 2. Типовые решения по безопасности компьютерных сетей. 3. Организация противодействия вредоносным программам.

Вопрос 1. Основы безопасности компьютерных сетей Преимущества обработки информации в сетях ЭВМ оборачиваются сложностями при организации их защиты. Основные проблемы : — расширение зоны контроля; — комбинация различных программно-аппаратных средств; — неизвестный периметр; — множество точек атаки; — сложность управления и контроля доступа к системе

Расширение зоны контроля Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости , возможно, в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегами в других организациях

РАСШИРЕНИЕ ЗОНЫ КОНТРОЛЯ Internet Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости, возможно, в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегами в других организациях.

Комбинация различных программно-аппаратных средств Соединение нескольких систем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимы с требованиями на других системах. В случае соединения разнородных систем риск повышается

Неизвестный периметр Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно ; один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить сколько пользователей имеют доступ к определенному узлу и кто они

Internet. НЕИЗВЕСТНЫЙ ПЕРИМЕТР Internet Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно; один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить сколько пользователей имеют доступ к определенному узлу и кто они.

Множество точек атаки В сетях набор данных или сообщение могут передаваться через несколько промежуточных узлов , каждый из которых является потенциальным источником угрозы. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема , что во много раз увеличивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; поэтому он считается одним из наиболее опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды коммуникационного оборудования : усилители сигнала, ретрансляторы, модемы и т. д.

Сложность управления и контроля доступа к системе Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной , если не невозможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер

Атака на сеть может осуществляться с двух уровней (возможна их комбинация): Верхнего — злоумышленник использует свойства сети для проникновения на другой узел и выполнения определенных несанкционированных действий. Меры защиты определяются потенциальными возможностями злоумышленника и надежностью средств защиты отдельных узлов. Нижнего — злоумышленник использует свойства сетевых протоколов (правил функционирования сети) для нарушения конфиденциальности или целостности сообщений. Нарушение потока сообщений может привести к утечке информации и даже потере контроля за сетью. Используемые протоколы должны обеспечивать защиту сообщений и их потока в целом.

АТАКА НА СЕТЬ С ДВУХ УРОВНЕЙ Атака сс верхнего уровня Атака с нижнего уровня Злоумышленник использует свойства сети для проникновения на другой узел и выполнения определенных несанкционирован- ных действий. Злоумышленник использует свойства сетевых протоколов для нарушения конфиденциальности или целостности отдельных сообщений или потока в целом.

Защита сетей, как и защита отдельных систем, преследует три цели : поддержание конфиденциальности передаваемой и обрабатываемой в сети информации, целостности и доступности ресурсов (компонентов) сети. Эти цели определяют действия по организации защиты от нападений с верхнего уровня. Конкретные задачи, встающие при организации защиты сети, обуславливаются возможностями протоколов высокого уровня : чем шире эти возможности, тем больше задач приходится решать

Защита сети должна планироваться как единый комплекс мер , охватывающий все особенности обработки информации. В этом смысле организация защиты сети , разработка политики безопасности , ее реализация и управление защитой подчиняются общим правилам. Однако необходимо учитывать, что каждый узел сети должен иметь индивидуальную защиту в зависимости от выполняемых функций и от возможностей сети. При этом защита отдельного узла должна являться частью общей защиты

АТАКА ЧЕРЕЗ ИНТЕРНЕТ Interne t. Internet

АТАКА ОТ ВНУТРЕННЕГО ЗЛОУМЫШЛЕННИКА Interne t

На каждом отдельном узле необходимо организовать: — контроль доступа ко всем файлам и другим наборам данных, доступным из локальной сети и других сетей; — контроль процессов , активизированных с удаленных узлов; — контроль сетевого трафика ; — эффективную идентификацию и аутентификацию пользователей, получающих доступ к данному узлу из сети; — контроль доступа к ресурсам локального узла, доступным для использования пользователями сети; — контроль за распространением информации в пределах локальной сети и связанных с нею других сетей

Классификация угроз Пассивные угрозы (нарушение конфиденциальности данных, циркулирующих в сети) просмотр и/или запись данных, передаваемых по линиям связи; Активные угрозы (нарушение целостности или доступности ресурсов (компонентов) сети) — несанкционированное использование устройств, имеющих доступ к сети для изменения отдельных сообщений или потока сообщений

Пассивные угрозы — просмотр сообщения — злоумышленник может просматривать содержание сообщения, передаваемого по сети; — анализ трафика — злоумышленник может просматривать заголовки пакетов, циркулирующих в сети и на основе содержащейся в них служебной информации делать заключения об отправителях и получателях пакета и условиях передачи (время отправления, класс сообщения, категория безопасности и т. д. ); кроме того, он может выяснить длину сообщения и объем трафика

Активные угрозы — отказ служб передачи сообщений — злоумышленник может уничтожать или задерживать отдельные сообщения или весь поток сообщений; — «маскарад» — злоумышленник может присвоить своему узлу или ретранслятору чужой идентификатор и получать или отправлять сообщения от чужого имени; — внедрение сетевых вирусов — передача по сети тепа вируса с его последующей активизацией пользователем удаленного или локального узла, — модификация потока сообщений злоумышленник может выборочно уничтожать, модифицировать, задерживать, переупорядочивать и дублировать сообщения, а также вставлять поддельные сообщения.

Вопрос 2. Типовые решения по безопасности компьютерных сетей Наиболее целесообразной, с точки зрения организации информационного обмена (документооборота) и обеспечения информационной безопасности, является архитектура Интранет — это применение технологии Internet в рамках корпоративных систем

Все полезные качества Internet : Web-технологии , программа просмотра , которая размещается на рабочем месте пользователей (навигатор), Web-сервер , который выступает в качестве информационного концентратора, и стандарты взаимодействия между клиентом и Web-сервером (протокол TCP/IP ) – применимы в архитектуре Интранет. На этой основе можно расширять спектр функций информационной системы, добавляя такие сервисы, как поиск информации, как коллективная работа с единым массивом информации, и ряд других

Архитектура систем Интранет стала естественным завершением очередного витка спирали эволюции информационных систем — от систем с централизованной архитектурой (на основе больших ЭВМ или мэйнфреймов) через системы «клиент-сервер» в традиционном понимании к Интранет

ВИТОК СПИРАЛИ ЭВОЛЮЦИИ ИНТРАНЕТ Мэйнфреймы. Системы Интранет Традиционные системы «клиент-сервер»

СИСТЕМЫ, ПОСТАВЛЯЮЩИЕ ИНФОРМАЦИЮ Информационная система Сервер: Генерация информации. Универсальные информационные клиенты Доставка информации. Навигатор

СИСТЕМЫ, ПОСТАВЛЯЮЩИЕ ДАННЫЕ (КЛИЕНТ-СЕРВЕР) Клиенты Приложение Доставка данных. Интерпретация данных Информационная система Сервер: Обработка данных

КОРПОРАТИВНЫЕ ПОТОКИ ДАННЫХ, ПЕРЕДАВАЕМЫЕ ПО ОТКРЫТЫМ СЕТЯМ Internet Мобильный пользователь Площадка 2 Площадка 3 Площадка

СЕТЕВОЙ УРОВЕНЬ ПРИЛОЖЕНИЯ СЕРВЕРНАЯ ПЛАТФОРМА РАБОЧЕЕ МЕСТО ТЕЛЕКОММУНИКАЦИИ Internet. УРОВНИ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ СЕТЕЙ

МЕХАНИЗМЫ БЕЗОПАСНОСТИ • ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ • РАЗГРАНИЧЕНИЕ ДОСТУПА • РЕГИСТРАЦИЯ И АУДИТ • КРИПТОГРАФИЯ • ЭКРАНИРОВАНИЕ

1. 1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ • ИДЕНТИФИКАЦИЯ — — присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем. • АУТЕНТИФИКАЦИЯ ( ( установление подлинности ) ) — — проверка принадлежности субъекту доступа представленного им идентификатора и подтверждение его подлинности (т. е. Реализация проверки, является ли субъект тем, за кого он себя выдает).

IDID ID Johnsmit h Admin Internet****** АУТЕНТИФИКАЦИЯ

2. 2. РАЗГРАНИЧЕНИЕ ДОСТУПА • Разграничение доступа — — установление полномочий (совокупности прав ) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС.

РАЗГРАНИЧЕНИЕ ДОСТУПА Контроль доступа • Routers • Firewalls Internet

3. РЕГИСТРАЦИЯ И АУДИТ • РЕГИСТРАЦИЯ — механизм фиксации событий, касающихся безопасности. • АУДИТ — анализ протоколируемой информации

СИСТЕМА ГЕНЕРАЦИИ ОТЧЕТОВ СРЕДСТВ АУДИТА • Для руководства компании • Для руководителей отделов • Для технических специалистов

ПРИМЕР ОТЧЕТА ПО АУДИТУ СИСТЕМЫ

ВАРИАНТЫ РЕАГИРОВАНИЯ Печать отчетов Crystal reports, HTML, Text Уведомление на консоль SNMP Alerts, Email, Другие программы Сохранение в ODBC -базе данных данные могут быть экспортированы. O

ВАРИАНТЫ РЕАГИРОВАНИЯ Регистрация события в базе данных Уведомления по e-mail , пейджеру и т. п. Генерация SNMP для систем сетевого управления Аварийное завершение соединения Управление маршрутизаторами и firewall Блокировка учетной записи атакующего Запись атаки для дальнейшего анализа Воспроизведение действий нарушителя Фильтрация и блокирование сетевых пакетов

4. 4. КРИПТОГРАФИЯ Криптография — шифрование и расшифрование конфиденциальных данных, а также подтверждение подлинности данных и контроля целостности. АЛГОРИТМОМ ШИФРОВАНИЯ является только такой, который легко выполняется в прямом направлении (например, возведение в степень) и сложно в обратном (например, логарифмирование). Поэтому, например, программы перестановки букв (шифр Цезаря) относятся к кодирующим, а не криптографическим программам.

85 urtiowjeuqp 08239574 i 9476 ljbmvnxkdkbm g 85 urtiowjeuqp 08239574 i 9476 ljbmvn x 8573 urtiowjeuqp 082 Internet. КРИПТОГРАФИЯ

МСЭ E-Mail сервер Web сервер Роутер Рабочие станции Сеть. Сервера 5. ЭКРАНИРОВАНИЕ Филиал Internet

Вопрос 3. Организация противодействия вредоносным программам

ПОНЯТИЕ О ВРЕДОНОСНЫХ ПРОГРАММАХ

0102030405060 8 0 Компьютерные вирусы Взлом сети Потеря данных Потеря целостности данных Атака «отказ в обслуживании» Троянцы Манипуляции с ПО. . . Мошенничество Кража данных, пром. шпионаж Незаконный доступ к трафику. . . Манипуляции с системой. . . Потеря дохода Нет Неизвестно Другое 98 04 Источник : July, 2004 Information. Week Global Information Security Survey of 2700 Security Professionals ВИРУСЫ – ГЛАВНАЯ УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Вирусы = больший ущерб, чем все виды угроз вместе взятые

Boot- вирусы Макро-вирусы Internet/E-mail вирусы More than Источник : Trend Micro ЧИСЛО ВИРУСОВ УВЕЛИЧИВАЕТСЯ

ВРЕДОНОСНЫЕ ПРОГРАММЫ Вредоносные программы — это такие программы, которые прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации. Виды вредоносных программ (по классификации Гостехкомиссии РФ): «троянский конь» «жадная» программа «червь» вирус «захватчик паролей»

ПРОГРАММНЫЕ ВИРУСЫ И ВОПРОСЫ ИХ НЕЙТРАЛИЗАЦИИ

Идея саморазмножающихся программ была впервые изложена в журнале Scientific Life в 1959 году. Позже она трансформировалась в идею «войны программ» .

Под программным вирусом, понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно-вычислительных сетях и отдельных ЭВМ. Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы ЛВС. Вирусы, использующие для размножения каналы ЛВС, принято называть сетевыми.

Цель атаки. Атакующий Распространение вирусов (отношение «один ко многим» )

Цикл жизни вируса обычно включает следующие периоды: • внедрения, • инкубационный, • репликации (саморазмножения), • проявления. Физическая структура вируса достаточно проста. Он состоит из «головы» и, возможно, «хвоста». Под головой вируса понимается его компонента, получающая управление первой. Хвост — это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, — сегментированными.

По характеру размещения в памяти ПЭВМ принято делить на: файловые нерезидентные, файловые резидентные, бутовые, гибридные, пакетные.

Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы: мониторы. СРЕДСТВА НЕЙТРАЛИЗАЦИИ ВИРУСОВ ревизоры прививки вакцины фагидетекторы

ПОТЕРИ ВРЕМЕНИ И ИНФОРМАЦИИ, СВЯЗАННЫЕ С ВИРУСАМИ

ПОТЕРИ ВРЕМЕНИ МОЖНО РАЗДЕЛИТЬ НА СЛЕДУЮЩИЕ ГРУППЫ: Прямые потери времени Косвенные потери времени

ПРИМЕНЕНИЕ АНТИВИРУСНЫХ СРЕДСТВ 1. Критерии выбора антивирусных средств 2. Технические решения по защите от вредоносных программ 3. Рекомендуемые меры по защите сети. 4. Защита от троянских программ в Windows XX.

КРИТЕРИИ ВЫБОРА АНТИВИРУСНЫХ СРЕДСТВ Функциональные возможности Важность для Клиента Возможности обнаружения вирусов Полагая, что ПО сертифицировано ICSA или Check. Mark сertification*, очень немногие клиенты теряют время на проведение собственных тестов по определению способности продукта обнаруживать вирусы. Возможность обнаружения деструктивного кода типа: «троянский конь», Active. X, Java Несмотря на то, что эта угроза еще не считается достаточно серьезной, обычно клиент желает иметь продукт, в котором предусмотрены функции обнаружения подобных вредительских программ. Готовность быстрого реагирования на появление новых видов угроз Клиенты полагаются на способность производителя своевременно и быстро реагировать на появление новых угроз. Обслуживание и поддержка Следующие обязательства производителя относительно обслуживания и поддержки продуктов являются важными при выборе антивирусного ПО: какие составляющие входят в базовую конфигурацию, что можно получить дополнительно, какие услуги входят в стоимость годовой технической поддержки. Исчерпывающий список защищаемых точек возможного проникновения вирусов Вирусы и враждебные программы могут проникать из различных источников. Поэтому клиенты хотят быть уверенными в том, что не осталось ни одной незащищенной точки проникновения угрозы. Эффективная утилита администрирования означает, что такие повседневные действия, как, например, обновление вирусных сигнатур, необходимо делать всего лишь один раз. Управляемость «Если вы не имеете возможности централизованного администрирования вашего антивирусного программного обеспечения, значит, вы не имеете антивирусной защиты вообще». Наши клиенты согласны с этим утверждением на 100% — они знают, что нельзя полагаться на то, что конечные пользователи будут поддерживать работоспособность и обновление антивирусной защиты на своих рабочих станциях. Управление антивирусной защитой удаленных пользователей Сейчас появилось большое количество пользователей, которые выполняют свою работу дома, подключаясь к ресурсам корпорации через компьютерную сеть и привнося новые точки проникновения вирусов. Поэтому администратору необходимо поддерживать их на том же уровне антивирусной защиты, что и тех, которые работают на локальных машинах

Централизованное уведомление Клиенты понимают, что если они не смогут получить мгновенную единую картину всех уязвимых точек сети, они могут упустить из виду потенциальную, как правило, реальную вирусную угрозу. Производительность системы Если антивирусная защита конфликтует с производительностью системы, доставкой почты или другими ключевыми аспектами современного процесса делового общения, у конечного пользователя появляется желание ее отключить. Удаленное (организованное посредством браузера) администрирование Если администратор сам является удаленным пользователем, интерфейс браузера дает ему возможность администрирования всего предприятия независимо от своего местонахождения. Автоматическое распространение и обновление Сегодня администраторы могут быть ответственны за тысячи индивидуальных компьютеров и дюжины различных отделений, навестить которые самостоятельно невозможно. Поэтому понятно требование администратора, который хочет при помощи антивирусного ПО автоматизировать этот процесс.

ТЕХНИЧЕСКИЕ РЕШЕНИЯ ПО ЗАЩИТЕ ОТ ВРЕДОНОСНЫХ ПРОГРАММ Систему защиты от вирусов можно считать эффективной, если при ее использовании вероятность потерь времени или информации, связанных с вирусами, не превышает вероятности потерь из-за аппаратных отказов. В настоящее время наблюдается тенденция интегрирования различных антивирусных средств с целью обеспечения надежной многоуровневой защиты. На российском рынке наиболее мощными являются антивирусный комплект Dialogue Science’s Anti-Virus kit (DSAV) АО «Диалог-Наука» и интегрированная антивирусная система Antiviral Toolkit Pro (AVP) ЗАО «Лаборатория Касперского», созданная на базе антивирусного отдела НТЦ «КАМИ». Указанные комплексы хорошо зарекомендовали себя в нашей стране, особенно при обеспечении антивирусной защиты информационных систем малого и среднего офиса. Рассмотрим эти комплексы.

ИНТЕГРИРОВАННАЯ АНТИВИРУСНАЯ СИСТЕМА AVP Система AVP первоначально представляла тандем двух программ: сканера и ревизора В настоящее время AVP претерпела существенные усовершенствования и включает все основные элементы антивирусной программной защиты компьютера и локальной сети. Имеются — версии для DOS, Windows 3. 1 x, Windows ХХ, Windows NT, Novell Net. Ware. По мировым оценкам последних нескольких лет система AVP неоднократно входила в число лучших в мире антивирусных продуктов поиска и удаления компьютерных вирусов в автономном компьютере. Система имеет одну из самых больших баз данных сканирования. В настоящее время она обнаруживает практически все полиморфные вирусы. Говоря о достоинствах системы, следует указать, что программный продукт AVP сертифицирован Гостехкомиссмей и фирмой Microsoft. В настоящий момент «Лаборатория Касперского» выпускает следующие про граммные средства антивирусной защиты: 1) сканеры-полифаги AVP с эвристическим анализатором (AVP Code Analyzer) для DOS (пакетный вариант — AVP Lite), Windows ХХ, Windows NT Workstation, Windows NT Server (AVP F-Secure) и Nove. U Netware (AVPN); 2) ревизор диска (CRC-сканер) AVP Inspector для Windows ХХ и Windows NT; 3) фильтры (резидентные мониторы) AVP Monitor для Windows ХХ, Windows NT Workstation, Windows NT Server (AVP F-Secure) и Novell Netware (AVPN); 4) электронный мультимедийный справочник по вирусологии AVP Virus Encyclopedia; 5) различные утилиты и дополнительные продукты, в том числе макрополифаг AVP Macro Stop (AVP Macro. Killer), сканер сообщений электронной почты на рабочих станциях AVP Mail Checker для Windows Х и др.

ОСНОВНЫЕ ХАРАКТЕРИСТИКИ: · Поиск и удаление вирусов и вредоносных программ всех типов в файлах, загрузочных секторах и оперативной памяти. · Надежный контроль за всеми возможными источниками вирусной опасности. · Все известные способы защиты против вирусов: резидентный перехватчик, сканер, ревизор изменений, поведенческий блокиратор. · Обнаружение и удаление вирусов из файлов, упакованных PKLITE, LZEXE, DIET, COM 2 EXE и другими утилитами сжатия. · Проверка архивированных файлов всех наиболее распространенных форматов (ZIP, arj, LHA, RAR и др. ) · Проверка на вирусы локальных почтовых ящиков наиболее распространенных почтовых систем. · Усовершенствованный эвристический механизм поиска неизвестных вирусов (эффективность—до 92%). · Режим избыточного сканирования · Обновления по Интернет в реальном масштабе времени. · Удобный пользовательский интерфейс.

AVP ДЛЯ СЕРВЕРОВ: AVP для Novell Netware — первая российская антивирусная система для компьютерных сетей на базе Novell Net. Ware — является од новременно антивирусным сканером и фильтром, постоянно контролирующим хранящиеся на сервере файлы. AVP для Windows NT Server — предназначен для создания надежной системы антивирусной защиты для файловых серверов и сер веров приложений, работающих под управлением Microsoft Windows NT Server. AVP Daemon для Linux — резидентный антивирусный фильтр для ОС Linux. Предназначен, прежде всего, для почтовых серверов и web-серверов, работающих под управлением ОС Linux. AVP для Firewall — антивирусный сервер, который проверяет информацию на уровне файлов, поступающих по протоколам HTTP, FTP, SMTP и др. AVP Inspector для Web серверов — дополнительная утилита для защиты web-серверов от любых несанкционированных изменений. Этот продукт представляет собой идеальный инструмент для соз дания современной системы полного контроля за web-серверами. AVP для MS Exchange Server — версия AVP, специально разработанная для антивирусной защиты почтовых серверов, работающих под управлением Microsoft Exchange Server. Программа позволяет централизованно обнаруживать и удалять компьютерные вирусы и вредоносные коды всех типов из электронной почты. Все вышеуказанные пакеты позволяют эффективно защитить от вирусов локальную сеть и свести к минимуму затраты времени на последующее обслуживание защищаемой системы.

РЕКОМЕНДУЕМЫЕ МЕРЫ ПО ЗАЩИТЕ СЕТИ Ø С учетом политики безопасности, принятой в учреждении, обмен информацией между средами должен осуществляться через контролируемые буферы. В самом простом случае между средой эксплуа тации и средой разработчиков создается один общий каталог, который периодически опрашивается и в случае наполнения автоматически проверяется на наличие вирусов. Ø Все задачи должны быть проанализированы на возможность разделения прав по файлам. Например, пользователю нет необходимости иметь права на изменение ехе-файла, когда изменяется файл данных с расширением dot. На ехе-файлы устанавливаются всем права на чтение и не более того.

Ø Ежедневный запуск на всех серверах процедуы обнаружения и удаления вирусов (например, автоматически одновременно с процедурой копирования). Для запуска антивирусной программы в определенное время можно использовать, например, стандартную программу Ье. ехе из комплекта утилит Norton или Schedulle Windows. Ø Для своевременного обнаружения зараженной рабочей станции процедура регистрации в сети была дополнена принудительной проверкой на наличие вируса в оперативной памяти компьютера, входящего в сеть. Ø С каждого компьютера, передаваемого в эксплуатацию, необходимо делать копию MBR жесткого диска. Хранится эта база отдельно, как и все архивы. В лучшем случае, когда все компьютеры однотипны, этого можно и не делать. Ø На случай тотального заражения сети должна быть разработана инструкция с четким разграничением обязанностей. Инструкция может включать следующие положения: · временный запрет доступа в сеть всем ее пользователям; · формирование группу специалистов для оказания помощи администратору (из программистов и электронщиков); задача этой группы: — определить на своем участке компьютеры, подлежащие лечению в первую очередь по условиям технологического процесса; — загрузившись с «чистой» дискеты провести лечение, в случае успеха позвонить администратору и сообщить username проверенного пользователя для разблокировки; — предупредить пользователей о запрете на применение любых переносных носителей информации до особого распоряжения.

Ø Проведение ревизии всех локальных задач с целью пере носа их на серверы, так как гораздо легче управлять системой централи зованно. Если позволяют скоростные характеристики сети, то наилучший вариант — это бездисковые рабочие станции. Ø (На усмотрение руководителя). Размещение в общем разделе с правами «только на чтение» несколько простеньких игровых программ, заранее проверенных на отсутствие вирусов. Ø (Дополнительная). Дисководы компьютеров пользователей отключаются в Setup, вход в который закрыли паролем. От «квалифицированного» пользователя в дальнейшем компьютеры опечатывались голографическими наклейками. Одновременно там, где этого не было сделано ранее и где позволяла версия Setup, включается встроенная антивирусная защита.

Важным моментом при обеспечении безопасности от вредоносных программ является выбор способа тиражирования антивирусного обеспечения. Существует три решения: · автономно на каждый компьютер; · через сервер, подключенный к Internet. Наиболее экономичен, с точки зрения оперативности и трудозатрат, последний вариант. При этом, исходя из рекомендаций специалистов, получая регулярно дополнения к установленному антивирусному обеспечению («штатный» сервис для зарегистрированных пользователей), в сети обновление допустимо производить не чаще раз в полгода.

ЗАЩИТА ОТ ТРОЯНСКИХ ПРОГРАММ В WINDOWS XX Следует отметить, что в большинстве случаев наиболее интересной информацией, находящейся на компьютере, для хакера являются (так как позволяют получить вполне конкретную финансовую выгоду): • имена и пароли для доступа к модемному пулу Интернет-провайдера; • идентификационные номера пользователя (UIN) онлайновой службы обмена сообщени ями ICQ (и пароли для их аутентификации, конечно); • имена и пароли для доступа к почтовым ящикам, FTP-cepверам и административного доступа к WWW-серверам; • иные имена и пароли. Поэтому в большинство троянских коней заложены средства, упрощающие сбор информации этих видов. В частности, ряд троянских коней имеют средства автоматического выделения имен и паролей для доступа в Интернет из реестра Windows, PWL-файлов или файлов конфигурации популярных программ дозвона (dialer), а также перехвата информации, вводимой в так называемые «парольные окна» (окна, имеющие атрибут «замещать вводимый текст звездочками» ).

ТРОЯНСКИЕ ПРОГРАММЫ И СОЦИАЛЬНЫЙ ИНЖИНИРИНГ Пример 1 Пример 2 Пример 3 Пример 4 Пример

ПЕРВОЙ ЛИНИЕЙ ОБОРОНЫ Поэтому ПЕРВОЙ ЛИНИЕЙ ОБОРОНЫ при защите от троянских коней являются элементарная осторожность и некоторая подозрительность по отношению к тем программам, документам и электронным письмам, которые вы получаете из Интернета (от кого бы они не исходили!). При малейшем подозрении на вирус или троянский конь следует проверить этот файл антивирусом с последними версиями антивирусных баз данных (если это уже не сделал за вас резидентный антивирусный монитор) и„ по возможности, отдать этот файл квалифицированным техническим специалистам на исследование (прежде всего, следует попробовать обратиться к службе безопасности своего Интернет-провайдера). Словом, не уверен — не запускай (не открывай, не отсылай).