Текст книги "Бизнес-безопасность"

• непоколебимая уверенность в том, что любые программные или аппаратные сбои в компьютере – результаты происков компьютерных вирусов;

• признание за вирусами сверхпроникающих способностей. Например, распространено мнение, что для заражения компьютера достаточно, чтобы, к примеру, USB-флеш-накопитель с вирусом оказался в USB-разъеме.

На самом деле вирус может проникнуть в компьютер при загрузке с этой флешки и при запуске выполняемых файлов, находящихся на ней, а при чтении файлов и при просмотре каталога – нет. Разумеется, во избежание случайного выполнения действий, которые могут привести к заражению, операции с подозрительными на вирус носителями информации должен выполнять только специалист.

Следует отметить, что вероятность попасть под разрушительную атаку компьютерного вируса имеет и свою положительную сторону. Пользователи приучаются уделять адекватное внимание созданию архивных копий своих данных, а также методам повышения надежности их хранения.

По среде обитания различают вирусы сетевые, файловые, загрузочные и др.

Сетевые вирусы являются наиболее сложной и наиболее опасной разновидностью компьютерных вирусов. Сетевым вирусом называется саморазмножающаяся и самораспространяющаяся по сети программа, которая, в частности, может переносить с собой “троянских коней” и обычные вирусы. К счастью, два наиболее известных случая создания таких вирусов не связаны с потерей или разрушением данных (вирус “Рождественская елка” и вирус Морриса).

Файловые вирусы внедряются:

• в выполняемые программы – файлы типа ЕХЕ и СОМ (вирус получает управление при запуске зараженной программы);

• в резидентные модули операционной системы и драйверы устройств с расширением SYS (активация вируса происходит при загрузке операционной системы);

• в объектные файлы и библиотеки (с расширением OBJ и LIB), вирус из которых будет встраиваться в написанную пользователем программу при сборке редактором связей LINK.

Загрузочные вирусы заражают загрузочный сектор диска (Boot-сектор) или сектор, содержащий системный загрузчик винчестера (Master Boot Record). Активируются при загрузке с инфицированного накопителя.

К отдельной группе относятся вирусы, располагающиеся в определенных областях накопителей, находящихся вне поля зрения операционной системы. Это могут быть псевдосбойные кластеры, как в случае вируса “Driver-1024 / Dir”, отличающегося “невидимостью” и стремительным распространением.

Существуют и сочетания, например, файлово-загрузочные вирусы, заражающие и файлы и загрузочные сектора дисков. Кроме того, по сети могут распространяться вирусы любых типов.

По деструктивным возможностям компьютерные вирусы можно разделить на следующие группы:

1) безвредные, никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

2) неопасные, влияние которых ограничивается уменьшением свободной памяти и графическими, звуковыми и прочими эффектами;

3) опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

4) очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже повредить оборудование.

При этом в большинстве случаев справедливо следующее правило: если вирус демонстрирует изощренный визуальный или звуковой эффект, то скорее всего он не выполняет массированного разрушения данных.

Вирусы первой и второй групп могут принести и пользу: проникая в компьютерную систему, они выявляют ее слабые места, не нанося по-настоящему серьезного ущерба (как в случае с вирусом Морриса).

Наносимый вирусами ущерб может иметь катастрофический характер (например, уничтожение винчестера) в сочетании с длительным “инкубационным периодом”, или, наоборот, вирус может достаточно часто наносить мелкие, трудно обнаруживаемые повреждения данных.

Наиболее опасны как раз не катастрофические повреждения винчестера или флешек (при адекватном архивировании это означает максимум потерю одного дня работы), а мелкие, незаметные изменения файлов данных. В частности, известен вирус, который ищет файлы типа DBF и, найдя внутри файла числовое поле, меняет местами две рядом стоящие цифры. Заметить подобное искажение информации удается обычно слишком поздно, что повлечет значительные затраты времени на исправление данных.

Хотя большинство повреждений, наносимых вирусом, относятся к данным, возможны также повреждения оборудования.

Примерами таких действий являются:

• интенсивное использование плохо охлаждаемого элемента конструкции для вывода его из строя или возгорания в результате перегрева;

• повреждение участка люминофора (“выжигание пятна”) на монохроматическом мониторе при использовании особенностей схемы управления;

• действия, способствующие ускоренному износу движущихся частей механизмов компьютера (например, головок винчестера).

Склонность компьютерных вирусов к разрушению и искажению информации может быть использована нечистоплотными конкурентами для нанесения значительного ущерба беспечной фирме. Не исключено также появление в будущем и вирусов-“шпионов”, перешедших от уничтожения информации к ее похищению по внешним линиям связи, подключенным к компьютеру.

Действия компьютерного вируса ведут чаще всего к отказу от выполнения той или иной функции (например, блокирование загрузки программы с защищенной от записи флешки) или к выполнению функции, не предусмотренной программой (например, форматирование диска, удаление файла и т. д.).

При этом создается впечатление, что происходят программные сбои или ошибки оборудования. Это впечатление усиливается способностью вируса выдавать ложные сообщения или искусственно вызывать ошибки системы.

Подозрение на появление в компьютерной системе вируса возможно в случае:

• изменения даты создания и длины файла;

• пропажи файлов;

• слишком частых обращений к диску;

• непонятных ошибок;

• “зависания” компьютера;

• самопроизвольной перезагрузки операционной системы;

• существенного замедления работы процессора;

• появления неожиданных графических и звуковых эффектов (“падение” букв, движущийся на экране ромбик, возникновение на экране световых пятен, черных областей, проигрывание мелодии);

• сообщения антивирусных средств.

6. Угрозы информации в компьютерных сетях. Сети компьютеров имеют много преимуществ перед совокупностью отдельно работающих компьютеров, в их числе можно отметить разделение ресурсов системы, повышение надежности функционирования системы, распределение загрузки среди узлов сети и расширяемость за счет добавления новых узлов.

Вместе с тем при использовании компьютерных сетей возникают серьезные проблемы обеспечения информационной безопасности. Можно отметить следующие из них:

1. Разделение совместно используемых ресурсов. В силу совместного использования большого количества ресурсов различными пользователями сети, возможно находящимися на большом расстоянии друг от друга, сильно повышается риск несанкционированного доступа, так как в сети его можно осуществить проще и незаметнее.

2. Расширение зоны контроля. Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости.

3. Комбинация различных программно-аппаратных средств. Соединение нескольких систем в сеть увеличивает уязвимость всей системы в целом, поскольку каждая информационная система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимыми с требованиями на других системах.

4. Неизвестный параметр. Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно, так как один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить, сколько пользователей имеют доступ к определенному узлу сети и кто они.

5. Множество точек атаки. В сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных узлов, каждый из которых является потенциальным источником угрозы. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увеличивает количество возможных точек атаки.

6. Сложность управления и контроля доступа к системе. Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу – с помощью сети, из удаленных точек.

В этом случае идентификация нарушителя может оказаться ложной. Кроме того, время атаки может оказаться слишком малым для принятия адекватных мер.

С одной стороны, сеть – это единая система с едиными правилами обработки информации, а с другой – совокупность обособленных систем, каждая из которых имеет свои собственные правила обработки информации. Поэтому, с учетом двойственности характера сети, атака на сеть может осуществляться с двух уровней: верхнего и нижнего (возможна и их комбинация).

При верхнем уровне атаки на сеть злоумышленник использует свойства сети для проникновения на другой узел и выполнения определенных несанкционированных действий. При нижнем уровне атаки на сеть злоумышленник использует свойства сетевых протоколов для нарушения конфиденциальности или целостности отдельных сообщений или потока в целом. Нарушение потока сообщений может привести к утечке информации и даже потере контроля за сетью.

Различают пассивные и активные угрозы нижнего уровня, специфические для сетей.

Пассивные угрозы (нарушение конфиденциальности данных, циркулирующих в сети) – это просмотр и (или) запись данных, передаваемых по линиям связи. К ним относятся:

• просмотр сообщения;

• анализ трафика – злоумышленник может просматривать заголовки пакетов, циркулирующих в сети, и на основе содержащейся в них служебной информации делать заключения об отправителях и получателях пакета и условиях передачи (время отправления, класс сообщения, категория безопасности, длина сообщения, объем трафика и т. д.).

Активные угрозы (нарушение целостности или доступности ресурсов и компонентов сети) – несанкционированное использование устройств, имеющих доступ к сети, для изменения отдельных сообщений или потока сообщений. К ним относятся:

• отказ служб передачи сообщений – злоумышленник может уничтожать или задерживать отдельные сообщения или весь поток сообщений;

• “маскарад” – злоумышленник может присвоить своему узлу или ретранслятору чужой идентификатор и получать или отправлять сообщения от чужого имени;

• внедрение сетевых вирусов – передача по сети тела вируса с его последующей активизацией пользователем удаленного или локального узла;

• модификация потока сообщений – злоумышленник может выборочно уничтожать, модифицировать, задерживать, переупорядочивать и дублировать сообщения, а также вставлять поддельные сообщения.

7. Угрозы коммерческой информации. В условиях информатизации бизнеса представляют особую опасность такие способы несанкционированного доступа к конфиденциальной информации, как подслушивание, копирование, подделка, уничтожение, незаконное подключение и перехват информации.

1. Подслушивание. Наиболее активно используются следующие способы подслушивания:

• подслушивание разговоров в помещениях или в автомашине с помощью предварительно установленных радиозакладок (“жучков”) или магнитофонов;

• подслушивание телефонных переговоров, прослушивание радиотелефонов и радиостанций;

• дистанционный съем информации с различных технических средств за счет их побочных электромагнитных излучений и наводок (перехват).

Существуют и другие методы подслушивания:

• лазерное облучение оконных стекол в помещении, где ведутся конфиденциальные переговоры;

• направленное радиоизлучение, заставляющее “откликнуться и заговорить” деталь в телевизоре, в радиоприемнике, в телефоне или другой технике.

Подобные приемы, правда, требуют специфических условий и реализуются довольно сложной и дорогой специальной техникой.

Для подслушивания используются разнообразные технические средства: микрофоны акустического или контактного восприятия звуковых колебаний, радиомикрофоны (радиозакладки), лазерные средства прослушивания, специальные средства прослушивания телефонных переговоров.

Миниатюрные и субминиатюрные радиопередатчики камуфлируются под различные предметы одежды или мебели и бытовые приборы. Нередко используются и узконаправленные микрофоны – для подслушивания переговоров на расстоянии, на открытом пространстве или в общественных помещениях: баре, ресторане и т. п.

2. Копирование. При несанкционированном доступе к конфиденциальной информации копируют документы, содержащие интересующую злоумышленника информацию, технические носители, информацию, обрабатываемую в автоматизированных информационных системах.

Используются следующие способы копирования: светокопирование, фотокопирование, термокопирование, ксерокопирование и электронное копирование.

3. Подделка. В условиях конкуренции подделка, модификация и имитация приобретают большие масштабы. Злоумышленники подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли, шифры и т. п.

В автоматизированных информационных системах к подделке относят, в частности, такие злонамеренные действия, как фальсификация (абонент-получатель подделывает полученное сообщение, выдавая его за действительное в своих интересах), маскировка (абонент-отправитель маскируется под другого абонента с целью получения им охраняемых сведений).

4. Уничтожение. Особую опасность представляет уничтожение информации в автоматизированных базах данных. Уничтожается информация на магнитных носителях с помощью компактных магнитов и программным путем (“логические бомбы”).

Значительное место в преступлениях против автоматизированных информационных систем занимают саботаж, взрывы, разрушения, вывод из строя соединительных кабелей, систем кондиционирования.

5. Незаконное подключение. Контактное или бесконтактное подключение к различного рода линиям и проводам с целью несанкционированного доступа к информации, образующейся или передаваемой в них, используется довольно широко, начиная от контактного подключения параллельного телефонного аппарата и кончая строительством мощных подслушивающих пунктов и постов.

Подключение возможно к проводным линиям телефонной и телеграфной связи, линиям передачи данных, соединительным линиям периферийных устройств, фототелеграфным линиям, линиям радиовещания, линиям громкоговорящих систем, к сетям питания и заземления технических средств, к одно– и многопроводным волоконно-оптическим линиям связи.

Разработаны и используются не только контактные способы подключения и их разновидности (например, контактное подключение с компенсацией падения напряжения), но и бесконтактные способы, обнаружить которые достаточно сложно. Бесконтактное подключение может быть реализовано с помощью сосредоточенной индуктивности (кольцевые трансформаторы) и рассредоточенной индуктивности (параллельно проложенные для этой цели провода).

6. Перехват. Радиоразведка ведется путем поиска, обнаружения и перехвата открытых, кодированных и засекреченных передач радиостанций и систем связи. Ведется также перехват электромагнитных сигналов, возникающих в электронных средствах за счет самовозбуждения, акустического воздействия, паразитных колебаний, пассивными средствами приема, расположенными, как правило, на достаточно безопасном расстоянии от источника информации.

Из всех устройств электронно-вычислительной техники наиболее уязвимыми с точки зрения перехвата информации являются дисплеи. Во-первых, непрерывная регенерация изображения на экране позволяет реализовывать многократный радиоприем одних и тех же информативных сигналов при перехвате, а это значительно увеличивает диапазон перехвата. Во-вторых, в дисплеях информация на экранах, как правило, представлена в наиболее наглядной и обобщенной форме.

Угрозу безопасности электронной коммерческой информации представляют также “жучки” – специальные миниатюрные (размером с булавочную головку) технические средства, которые могут быть вмонтированы в ПК. Подобный “жучок” ловит и передает электронные информационные сигналы от технического средства, в котором он установлен. Такие сигналы могут быть зафиксированы и декодированы на достаточно большом расстоянии от “жучка”.

В конструкциях “жучков” могут применяться различные механизмы, затрудняющие их обнаружение:

• передача накопленной информации дискретными порциями в течение нескольких микросекунд;

• использование в качестве среды распространения своих сигналов сети электропитания того технического устройства, в котором установлен “жучок”;

• маскировка радиочастот, используемых в передатчиках “жучков”, путем подбора частот, близких к применяемым в радио-и телевизионном вещании;

• использование “скачущей” частоты передачи.

Данные методы маскировки “жучков” делают малоэффективным способ борьбы с ними, основанный на электронном “прочесывании”.

Кроме того, перехвату подвержены переговоры, ведущиеся с подвижных средств телефонной связи (радиотелефон); переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и т. п.

Методы и средства обеспечения информационной безопасности предприятия

Методами обеспечения защиты информации на предприятии являются следующие:

1. Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).

2. Управление доступом – метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия.

Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

• аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• проверку полномочий (проверку соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• разрешение и создание условий работы в пределах установленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализацию, отключение, задержку работ, отказ в запросе) при попытках несанкционированных действий.

3. Маскировка – метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия (шифрования).

4. Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводится к минимуму.

5. Принуждение – такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

6. Побуждение – метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

Указанные методы обеспечения информационной безопасности предприятия реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства защиты данных: физические, аппаратные, программные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические.

1. Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

Наряду с традиционными механическими системами при доминирующем участии человека, разрабатываются и внедряются универсальные автоматизированные электронные системы физической защиты, предназначенные для охраны территорий, охраны помещений, организации пропускного режима, организации наблюдения; системы пожарной сигнализации; системы предотвращения хищения носителей.

Элементную базу таких систем составляют различные датчики, сигналы от которых обрабатываются микропроцессорами, электронные интеллектуальные ключи, устройства определения биометрических характеристик человека и т. д.

Для организации охраны оборудования, входящего в состав автоматизированной информационной системы предприятия, и перемещаемых носителей информации (дискет, магнитных лент, распечаток) используются:

• различные замки (механические, с кодовым набором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы;

• микровыключатели, фиксирующие открывание или закрывание дверей и окон;

• инерционные датчики, для подключения которых можно использовать осветительную сеть, телефонные провода и проводку телевизионных антенн;

• специальные наклейки из фольги, которые наклеиваются на все документы, приборы, узлы и блоки системы. При любой попытке вынести за пределы помещения предмет с наклейкой специальная установка (аналог детектора металлических объектов), размещенная около выхода, подает сигнал тревоги;

• специальные сейфы и металлические шкафы для установки в них отдельных элементов автоматизированной информационной системы (файл-сервера, принтера и т. п.) и перемещаемых носителей информации.

Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия.

При этом экранирование рабочих помещений, где установлены компоненты автоматизированной информационной системы, осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или пластмассовых листов.

Для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем.

Все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой. На вентиляционных каналах монтируют предельные магнитные ловушки, препятствующие распространению радиоволн.

Для защиты от наводок на электрические цепи узлов и блоков автоматизированной информационной системы используют:

• экранированный кабель для внутристоечного, внутриблочного, межблочного и наружного монтажа;

• экранированные эластичные соединители (разъемы), сетевые фильтры подавления электромагнитных излучений;

• провода, наконечники, дроссели, конденсаторы и другие помехоподавляющие радио– и электроизделия;

• разделительные диэлектрические вставки на водопроводах, отопительных, газовых и других металлических трубах, разрывающие электромагнитную цепь.

Для контроля электропитания используются электронные отслеживатели – устройства, которые устанавливаются в местах ввода сети переменного напряжения. Если шнур питания перерезан, оборван или перегорел, кодированное послание включает сигнал тревоги или активирует телевизионную камеру для последующей записи событий.

Для обнаружения внедренных “жучков” наиболее эффективным считается рентгеновское обследование. Однако реализация этого метода связана с большими организационными и техническими трудностями.

Применение специальных генераторов шумов для защиты от хищения информации с компьютеров путем съема ее излучений с экранов дисплеев оказывает неблагоприятное воздействие на организм человека, что приводит к быстрому облысению, снижению аппетита, головным болям, тошноте. Именно поэтому они достаточно редко применяются на практике.

2. Аппаратные средства защиты данных – это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т. д.

Основные функции аппаратных средств защиты:

• запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей автоматизированной информационной системе;

• запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных информационной системы в результате случайных или умышленных действий обслуживающего персонала;

• защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением автоматизированной информационной системы;

• защита целостности программного обеспечения.

Эти задачи реализуются аппаратными средствами защиты информации с использованием метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация и реагирование).

Для работы с особо ценной информацией фирмы – производители компьютеров могут изготавливать индивидуальные диски с уникальными физическими характеристиками, не позволяющими считывать информацию. При этом стоимость компьютера может возрасти в несколько раз.

3. Программные средства защиты данных предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

Программные средства защиты информации являются наиболее распространенным видом защиты, обладающим следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.

В настоящее время создано большое количество операционных систем, систем управления базами данных, сетевых пакетов и пакетов прикладных программ, включающих разнообразные средства защиты информации.

С помощью программных средств защиты решаются следующие задачи информационной безопасности:

• контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.);

• разграничение и контроль доступа субъектов к ресурсам и компонентам системы, внешним ресурсам;

• изоляция программ процесса, выполняемого в интересах конкретного субъекта, от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);

• управление потоками конфиденциальной информации с целью предотвращения записи на носители данных несоответствующего уровня (грифа) секретности;

• защита информации от компьютерных вирусов;

• стирание остаточной конфиденциальной информации в разблокированных после выполнения запросов полях оперативной памяти компьютера;

• стирание остаточной конфиденциальной информации на магнитных дисках, выдача протоколов о результатах стирания;

• обеспечение целостности информации путем введения избыточных данных;

• автоматический контроль за работой пользователей системы на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.

Борьба против атак, использующих метод повторного использования объектов, заключается в устранении возможности считать остатки информации. Делается это либо полным затиранием остатков информации или заполнением их какой-либо бессмыслицей (в простейшем случае – просто блоком сплошных нулей или единиц), либо – более тонко – путем отказа любому пользователю в возможности прочитать “свободный” блок до тех пор, пока этот пользователь полностью не заполнил его своей собственной информацией.

В настоящее время ряд операционных систем изначально содержит встроенные средства блокировки повторного использования. Для других типов операционных систем существует достаточно много коммерческих программ, не говоря уже о специальных пакетах безопасности, реализующих аналогичные функции.

Применение избыточных данных направлено на предотвращение появления в данных случайных ошибок и выявление неавторизованных модификаций. Это может быть применение контрольных сумм, контроль данных на чет-нечет, помехоустойчивое кодирование и т. д.

Часто практикуется хранение в некотором защищенном месте системы сигнатур важных объектов системы. Например, для файла в качестве сигнатуры может быть использовано сочетание байта защиты файла с его именем, длиной и датой последней модификации. При каждом обращении к файлу или в случае возникновения подозрений текущие характеристики файла сравниваются с эталонными. Расхождение каких-то характеристик свидетельствует о возможной модификации файла.

Контроль автоматизированной информационной системы заключается в выделении, накоплении в едином месте (так называемом следе контроля), защищенном хранении и предоставлении по требованию авторизованного (для выдачи такого требования) пользователя специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности системы.

Контроль системы служит для следующих целей:

• для отслеживания текущего состояния безопасности в защищаемой системе, своевременного обнаружения возможности нарушения безопасности и предупреждения об этом лиц, отвечающих за безопасность системы;

• для обеспечения возможности обратной трассировки (по данным контроля) происшедшего нарушения безопасности с целью обнаружения причин данного нарушения и установления степени ответственности причастных к нарушению лиц.

Слежение может быть разного уровня реализации (программное, аппаратное, программно-аппаратное), разного уровня подробности (обращения к физическим портам, адресам памяти, ресурсам, отслеживание логических ресурсов, использования программ, каналов и т. п.).

Отслеживание, сбор и обработка статистических данных не решают задачу активной обороны, но являются очень хорошим диагностическим средством. Обычно средства слежения фиксируют такое количество взаимосвязанных событий, что невозможно скрыть следы проникновения в систему, отключения системы слежения. В лучшем случае удается так исказить данные системы слежения, что они на первый взгляд выглядят корректными.

Но при внимательном, подробном анализе всегда обнаруживаются маленькие шероховатости, неувязки, несогласованность данных. Поэтому сбор статистических данных оказывается основой, вокруг которой концентрируются самые разные способы обнаружения вирусов и проникновений хакеров в систему.