Развитие систем защиты информации

Введение
Глава 1 Защита информации – составляющая информационной безопасности
1.1 Краткая история развития информационной безопасности
1.2 Общие тенденции и прогнозы развития систем защиты
Глава 2 Развитие систем и средств информационной защиты
2.1 Развитие систем антивирусной защиты
2.2 Развитие систем технической защиты информации
Заключение
Список литературы

Развитие систем защиты информации

Сегодня наблюдается увеличение числа российских компаний, которые предлагают свои системы защиты. Эта ситуация ассоциируется с началом 90-х годов прошлого века, когда количество разработчиков средств защиты информации от несанкционированного доступа насчитывалось до нескольких десятков. По мере разработки компанией Microsoft обновлённых версий операционных систем усложнялся процесс создания систем защиты и количество фирм-разработчиков уменьшалось, пока не стало насчитывать всего 5-6 компаний. В настоящее время нечто подобное наблюдается в области средств построения VPN и межсетевых экранов4. Количество отечественных разработок уже перевалило за десяток и продолжает возрастать. Можно с уверенностью спрогнозировать, что через один-два года такая же ситуация будет наблюдаться и на рынке средств обнаружения атак и сканеров безопасности. На данный момент уже регулярно возникают сообщения о попытках формирования отечественных решений, применяющих эти технологии.
Многие зарубежные компании пошли по пути создания единой консоли управления всеми средствами защиты, которые установлены в организации. Об этих решениях уже заявили Symantec, Cisco Systems, а некоторые фирмы предложили готовые разработки. CheckPoint Software и Internet Security Systems представили системы Firewall-1 Next Generation и RealSecure SiteProtector. Решение компании CheckPoint позволяет с единой консоли регулировать работу межсетевого экрана и списков контроля доступа маршрутизаторов, средства построения VPN, системы управления качеством обслуживания и балансировки нагрузки, системы управления адресным пространством и LDAP-сервером и т.д. Подобные задачи решает и система RealSecure SiteProtector компании ISS: за некоторыми исключениями она может управлять системами обнаружения атак и персональными межсетевыми экранами, сканерами безопасности и антивирусными системами, а также подключать другие средства защиты. Повышенный интерес к межсетевым экранам сохранится, но роста, наблюдаемого последние три-четыре года, уже, скорее всего, не будет, несмотря на то, что для российского потребителя эта технология по-прежнему является наиболее применяемой и востребованной. Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из неё пакетов данных. Основной принцип действия межсетевых экранов – проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.
Говоря о VPN (Virtual Private Network), нужно сказать, что использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трёх основных задач:
защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);
защищённый доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через Интернет;
защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).
Изменение периметра корпоративной сети приведёт к увеличению числа предложений персональных средств защиты, интегрирующих возможности межсетевых экранов, систем обнаружения атак и антивирусных средств. И появление таких решений уже зафиксировано – это системы RealSecure Desktop Protector (ISS), ZoneAlarm (ZoneLabs) и ViPNet (ИнфоТеКС).
В ближайшие годы повышенным вниманием будут пользоваться услуги по аутсорсингу в области информационной безопасности. В то же время если за рубежом эти услуги уже завоевывают популярность, в России о них только начинают говорить, да и то лишь немногие компании, ожидающие немалой отдачи от них. Как часть услуг по аутсорсингу просыпается интерес к проектированию эффективных систем защиты и приглашению консультантов из третьих фирм – в противоположность бездумной трате денег на приобретение широко рекламируемых средств.
В ближайшее время появятся технические средства защиты информации, реализующие также и контроль целостности информационных технологий.
Глава 2 Развитие систем и средств информационной защиты
2.1 Развитие систем антивирусной защиты
Подход, основанный на анализе не только статики, но и динамики объектов и процессов, оказывается довольно продуктивным. Хорошей иллюстрацией данного тезиса является анализ состояния антивирусной защиты5.
Существует множество классификаций средств защиты. Как правило, с научной точки зрения ни одну их них классификацией назвать нельзя, так как выполняются они по разным основаниям. В результате классификации пересматриваются каждый раз с появлением новых антивирусных программ, а отнесение антивирусной программы к тому или иному виду носит волюнтаристский характер, не говоря уже о том, что неверные классификации неприменимы для прогноза развития и планирования работ.
В то же время, построить правильную классификацию можно, если исходить из того факта, что деятельность по выявлению компьютерных вирусов – это деятельность, связанная с обработкой информации, и рассматривать две формы бытования информации – статическую (данные) и динамическую (процессы) – то есть классифицировать по признаку изменяемости во времени. В полном соответствии с этим антивирусные средства можно разделить на две большие группы – анализирующие данные и анализирующие процессы.
Анализ данных. К этому классу антивирусных средств относятся ревизоры и полифаги. Ревизоры анализируют последствия от деятельности компьютерных вирусов и других вредоносных программ. Последствия проявляются в изменении данных, которые изменяться не должны. Именно факт изменения данных является признаком деятельности вредоносных программ с точки зрения ревизора. Другими словами, ревизоры контролируют целостность данных, и по факту нарушения целостности принимают решение о наличии в компьютерной среде вредоносных программ.
Полифаги действуют по-другому. Они на основе анализа данных выделяют фрагменты вредоносного кода (например, по его сигнатуре), и на этой основе делают вывод о наличии вредоносных программ. Удаление или «лечение» пораженных вирусом данных позволяет предупредить негативные последствия исполнения вредоносных программ. Таким образом, на основе анализа в статике предупреждаются последствия, возникающие в динамике.
Схема работы и ревизоров, и полифагов практически одинакова: сравнить данные (или их контрольную сумму) с одним или несколькими эталонными образцами. Данные сравниваются с данными.
Таким образом, для того, чтобы найти вирус в своем компьютере, нужно, чтобы он уже «сработал», чтобы появились последствия его деятельности. Причём даже таким образом можно найти только известные вирусы, для которых заранее описаны фрагменты кода и/или сигнатуры. Вряд ли такую защиту можно назвать надёжной.
Несколько по-иному работают антивирусные системы, основанные на анализе процессов. Эвристические анализаторы также как и ранее, анализируют данные на диске, в канале или в памяти. Принципиальное отличие состоит в том, что анализ проводится в предположении, что анализируемый код – это не данные, а команды.
Эвристический анализатор выделяет последовательность операций, каждой из них присваивает некоторую оценку опасности, и по совокупности опасности принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется6.
Другим видом антивирусных средств, основанных на анализе процессов, являются поведенческие блокираторы. В этом случае подозрительный код выполняется поэтапно до тех пор, пока совокупность инициируемых кодом действий не будет оценена как опасное (либо безопасное) поведение. Код при этом выполняется частично, поскольку завершение вредоносного кода можно будет обнаружить более простыми методами анализа данных.
Таким образом, анализу можно подвергать данные и процессы. Данные можно характеризовать с помощью понятия целостность. Факт нарушения целостности устанавливают ревизоры. Конкретный внедренный код, содержание модификации, выявляют полифаги. Других вариантов нет, и, следовательно, развитие данного направления будет идти по пути совершенствования уже используемых механизмов.
Процессы, развивающиеся во времени, следует и анализировать во времени, то есть в процессе исполнения. В типичных случаях, можно анализировать без исполнения (эвристические анализаторы), можно на основе поведения, выявляемого при частичном исполнении кода (поведенческие блокираторы). Этим и исчерпываются применяемые сегодня методы. Очевидно, что остаётся не реализованным ещё один (и самый достоверный) метод – на основе полного исполнения кода.
Конечно, исполнившись, вирус разрушит защищаемый объект, но это говорит всего лишь о том, что исполнять вирус надо в изолированной среде, обеспечивающей безопасность срабатывания вредоносной программы. Видимо, разработка таких антивирусных систем ещё впереди.
2.2 Развитие систем технической защиты информации
Целью развития средств технической защиты объектов (сообщений) можно считать повышение надёжности.
Для того чтобы оценить перспективы развития технических средств защиты информации, нужно в первую очередь оценить состояние развития среды, влияющей на объект защиты. Необходимо понять, как развиваются технические средства вычислительной техники (программные и аппаратные), появились ли новые угрозы, и если да, то какие.
Развитие операционных систем можно упрощённо описать через понятия «универсальная – специализированная». Так, ОС разработки корпорации Microsoft обычно позиционируются как универсальные, например, Windows. Несмотря на имеющиеся различия, универсальные ОС всё более становятся специализированными и, соответственно, всё менее универсальными. При этом практически полностью утрачена возможность применения их в специализированных приложениях – при необходимости обеспечения работы в реальном масштабе времени.
Как известно, архитектура современных компьютеров – это архитектура фон Неймановского типа. С этим связана принципиальная невозможность защиты таких компьютеров только программными средствами – ведь управляет аппаратными средствами тот компонент, который первым получил управление. И если этим первым оказалась вредоносная программа, то избавиться от неё невозможно. Здесь необходимо подойти к понятию аппаратного модуля безопасности – HSM (Hardware Security Module). Как правило, это отдельный компьютер, начинённый различным программным обеспечением, выполняющим функции, связанные с безопасностью. Обычно это межсетевой экран, криптомаршрутизатор, сервер ЭЦП и др.7 С функциональной компьютерной системой HSM интегрируется обычно через сетевые интерфейсы, и в связи с этим значительно упрощается аттестация системы. В использовании HSM, однако, есть и проблемы. В первую очередь – это их ненадёжность.
Вытекающей отсюда идеей является резидентный компонент безопасности – РКБ8. В отличие от HSM, РКБ не объединяется с системой по внешним интерфейсам, а включается в состав системы (является резидентным), становится неотъемлемой её частью. В дальнейшем идеология РКБ была воспринята многими мировыми производителями систем безопасности, и даже была стандартизована на Западе как специализированный модуль для доверенных вычислений – TPM (Trusted Platform Module). Представляется, что в дальнейшем системы на базе идеологии РКБ-TPM будут развиваться особенно эффективно.
Вторую молодость сейчас переживают терминальные решения. Суть терминальной сессии осталась прежней: хранение и обработка данных происходит на сервере, к пользователю передаются изменения изображения на экране, от пользователя на сервер передаются нажатия клавиш и манипуляции с мышью. Однако в процессе эволюции и терминальные серверы, и терминалы значительно изменились. Раньше типичный терминал представлял собой только монитор, клавиатуру и блок соединения с сервером. Сегодня же терминальная функция – это только одна из задач. Пользователю предоставляется не терминал, а ресурсы тонкого клиента, которые могут обладать собственной операционной системой, собственным жёстким диском, собственной периферией (дисководом, портами ввода/вывода, USB-разъёмами) их уже нельзя представить как просто удалённые от терминального сервера монитор, клавиатуру и мышь.
Таким образом, следует ожидать появления защищённых терминалов с одной стороны, и средств для защиты терминальных решений – с другой.