ВВЕДЕНИЕ
Актуальность темы исследования. Интенсивное развитие и совершенствование информационных технологий приводит к необходимости рассматривать в качестве доминирующей тенденцию расширения информационной сферы. Это обусловило появление отдельного класса элементов этой сферы, ее так называемых критически важных сегментов - информационных систем, обеспечивающих деятельность органов государственного управления /1/, систем управления инфраструктурой связи 121, финансов 131, энергетики /4/, транспорта 151 и чрезвычайных служб 161. Вместе с тем, расширение информационной сферы привело к появлению различного рода угроз элементам информационной сферы 111. При этом, главным объектом таких угроз стали ее критически важные сегменты. Это обусловило необходимость решения ряда проблем, связанных с организацией защиты информационной сферы с целью предотвращения ущерба от нарушения ее безопасности при наличии различных источников угроз /8-13/.
Одним из наиболее серьезных источников угроз информационной сферы являются вредоносные программы /14 - 16/ - один из основных инструментов противоправного манипулирования информацией /17/ в ее компьютерных сетях /18/. Вредоносные программы проектируются высококвалифицированными специалистами /19/ как программы вирусного типа /20 - 26/, что дает возможность использовать такие преимущества компьютерных вирусов как изоморфность структуры, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды /27 - 28/. Эти свойства позволяют вредоносным программам реализо-вывать функции противозаконного манипулирования информацией за крайне короткие периоды времени, что значительно затрудняет возможность их обнаружения и устранения, и как следствие - ставит такие программы в разряд одного из самых совершенных, на сегодняшний день, инструментов противоправных действий в информационной сфере /29/.
Вредоносные программы влияют, в первую очередь, на временные характеристики элементов информационной сферы, так как результатом их воздействия являются значительные временные потери, связанные с восстановлением корректности информационных процессов.
В связи с этим становится очевидным, что вредоносные программы являются фактором существенного снижения эффективности применения, в первую очередь, критически важных сегментов информационной сферы, так как их деятельность ориентирована на оперативную обработку поступающей информации. Это, в свою очередь, позволяет отнести вредоносные программы к отдельному классу наиболее серьезных угроз безопасности информационной сферы.
Отсюда актуальной становится проблема защиты критически важных сегментов информационной сферы от данного вида угроз. Очевидно, что ее решение должно осуществляться системно, на основе всестороннего исследования технологий противодействия вредоносным программам. То обстоятельство, что такие технологии характеризуется множеством разнородных параметров, относит вопросы их исследования к числу сложных как в научном, так и в практическом плане.
Подобные исследования предполагают:
• проведение системного анализа состояния защищенности от вредоносных программ как в целом информационной сферы и ее отдельных критически важных сегментов;
• исследование эффективных способов и средств противодействия вредоносным программам;
• оценку технологий противодействия вредоносным программам в критически важных сегментах информационной сферы.
Все это обусловило необходимость поиска таких подходов в оценке эффективности противодействия вредоносным программам, которые системно учитывали бы все множество свойств используемых технологий.
Как показывает анализ состояния вопроса /30/, одним из наиболее перспективных путей решения данной задачи является синтез комплексного показателя, характеризующего возможности используемых технологий противодействия вре-доносным программам. Вместе с тем, синтез комплексного показателя имеет ряд особенностей, связанных с наличием множества направлений как в классификации возможностей различных технологий противодействия вредоносным программам, так и в использовании для исследования математических средств.
Это позволило предложить принципиально новый подход к решению задачи комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.
Суть данного подхода состоит в разработке обоснованных правил синтеза комплексного показателя эффективности противодействия вредоносным программам, форма которого будет оптимальной с точки зрения отражения возможностей применяемых технологий противодействия.
Несмотря на то, что совершенствование теории и практики обеспече-ния информационной безопасности стало чрезвычайно актуальной проблемой, специальные исследования применительно к задачам комплексной оценки эффективности противодействия вредоносным программам в информационной сфере вообще и противодействия вредоносным программам в ее критически важных сегментах, в частности, не проводились.
В связи с тем, что предлагаемый способ оценки эффективности противодействия вредоносным программам в доступной литературе не освещен, а известные методы не позволяют осуществлять всестороннюю оценку возможностей средств противодействия вредоносным программам, дает основания утверждать, что задача разработки методов комплексной оценки эффективности этих средств является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в серьезной проработке как в методическом, так и в прикладном плане. Все это свидетельствует об актуальности темы настоящей диссертационной работы, выполненной в соответствии с Доктриной информа-
ционной безопасности Российской Федерации 111, а также в соответствии с научным направлением Воронежского института МВД России, связанным с обоснованием требований к средствам и системам защиты информации.
Объектом исследования являются технологии противодействия вредоносным программам в критически важных сегментах информационной сферы.
Предметом исследования выступают методы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.
Целью диссертационной работы является совершенствование мето-дов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы на основе синтеза комплексного показателя эффективности используемых технологий противодействия.
Для достижения цели в работе решаются следующие научные задачи:
• теоретическое обоснование системных требований к синтезу комплексного показателя эффективности противодействия вредоносным про-
0 граммам в критически важных сегментах информационной сферы;
• разработка алгоритма синтеза такого показателя;
• построение оптимальной структуры частных показателей эффективности используемых технологий противодействия вредоносным программам;
•разработка комплекса аналитических и имитационных моделей, обеспечивающих оценку показателей эффективности используемых технологий противодействия вредоносным программам;
•экспериментальная проверка алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.
Методы исследования. В работе использованы методы системного анализа, теории информационной безопасности, теории множеств, теории графов, математического моделирования, теории вероятности и математической статистики, теории случайных процессов.
8
Обоснованность и достоверность полученных результатов обеспечивается:
• применением апробированного математического аппарата в процессе формализации процессов противодействия вредоносным программам;
• экспериментальной проверкой разработанных математических моделей и соответствием полученных результатов известным из научной литературы случаям.
Научная новизна и теоретическая значимость результатов, полученных в диссертации, состоит в следующем:
1. Разработаны алгоритмы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы, отличающийся от известных способов решения аналогичных задач тем, что интегрирование частных показателей производится на основе учета их влияния на целевую функцию - степень предотвращения ущерба информационной сферы от нарушения ее безопасности.
2. Предложен методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам, который, в отличие от аналогов, дает возможность управлять степенью детализации исследуемых процессов.
3. Предложены новые решения по построению математических моделей противодействия вредоносным программам, основанные на использовании подобия частных показателей используемых технологий противодействия классическому представлению случайных величин.
Практическая ценность исследования состоит в разработке эффективной системы поддержки решений по оценке используемых технологий противодействия вредоносным программам в критически важных сегментах информационной сферы, которая выполняет следующие функции:
• анализ и обобщение частных показателей противодействия вредоносным программам для различных практических вариантов используемых технологий противодействия;
• построение удобных для практического восприятия схем анализа технологий противодействия вредоносным программам;
• сравнение показателей эффективности различных технологий проти-водействия вредоносным программам.
Результаты теоретических и экспериментальных исследований могут быть использованы для решения следующих научно-прикладных задач:
• обоснования новых подходов к организации противодействия вредоносным программам в критически важных сегментах информационной сферы;
• анализа существующих технологий противодействия вредоносным ф) программам в процессе их использования.
Полученные результаты могут применяться в лекционных курсах и учебных материалах высших учебных заведений при изучении основ информационной безопасности, а также при переподготовке персонала, отвечающего за безопасность критически важных сегментов информационной сферы. На защиту выносятся следующие основные положения диссертацион-,§} ной работы:
1. Постановка и результаты решения задачи синтеза комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы на основе построения оптимальной структуры частных показателей и его применения для оценки эффективности используемых технологий противодействия вредоносным программам.
2. Методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам.
Внедрение результатов работы. Результаты диссертационной работы внедрены в:
Военном институте радиоэлектроники Министерства обороны Российской Федерации;
10
Воронежском институте Министерства внутренних дел Российской Федерации;
Главном Управлении внутренних дел Воронежской области; Управлении внутренних дел Тамбовской области. Внедрение результатов подтверждается соответствующими актами. Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях: i
Основные методические и практические результаты исследований докладывались на следующих конференциях:
1. Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью» - Воронеж, 2002 г. /48/.
2. Межрегиональная научно-практическая конференция «Информация и безопасность» - Воронеж, 2002 г. /56/.
3. IV Всероссийская научно-практическая конференция «Охрана, безопасность и связь» - Воронеж, 2003 г. /49/.
4. Всероссийская научно-практическая конференция «Современные ^ проблемы борьбы с преступностью» - Воронеж, 2005 г. /57/.
Публикации. По теме диссертации опубликовано 9 статей /28, 29, 30, 35, 50, 53, 54, 55, 67/.
В работах, опубликованных в соавторстве, лично соискателем предложено:
в /28/ - классифицировать компьютерные вирусы с учетом комплексного проявления ими свойств ассоциативности, репликативности и изоморфности;
в /29/ - иллюстрацию использования злоумышленниками различных свойств компьютерных вирусов при реализации этапов обобщенной стратегии несанкционированного доступа к информации в компьютерных системах;
в /30/ рассматривать в качестве основных классифицирующих признаков свойств вредоносных программ их активность и живучесть;
в /35/ - систематизацию обстоятельств, обусловливающих необходимость сохранения в тайне действий правоохранительных органов;
11
в /48/ - идентифицировать противоправные действия в сфере компьютерной информации с помощью двухуровневой системы, первый уровень которой обеспечивает выявление факта противоправного действия, а второй -следов таких воздействии;
в /49/ - выявлять факты противоправного воздействия на информацию в компьютерных сетях с помощью смыслового контроля информационных параметров вычислительных процессов;
в /50/ - в качестве основополагающего принципа идентификации компьютерных преступлений принцип иерархического описания стратегий несанкционированного доступа к информации в компьютерных системах;
в /53/ - использовать технологии распределенной защиты информации в качестве источника криминалистически значимой информации при расследовании компьютерных преступлений;
в /54/ - рассматривать в качестве доминирующего фактора повышения раскрываемости компьютерных преступлений наличие полного набора идентифицирующих признаков такого рода противоправных действий; * в /56/ - рассматривать методику оценки защищенности информацион-
но-телекоммуникационных систем от угроз их информационной безопасности как процедуру формирования иерархической структуры показателей рассмотреть в качестве примера функционально-информационной модели деятельность службы режима спецподразделения по обеспечению сотрудников служебной документацией;
в /57/ - формировать комплексный показатель для оценки эффективности противодействия вредоносным программам на основе иерархической структуризации частных показателей;
в /67/ - использовать функциональное описание информационных про-^ цессов как необходимый этап их формализации.
Структура и объем работы. Диссертация изложена на 164 страницах и состоит из введения, четырех глав, заключения, библиографического списка использованной литературы и приложения, содержит 51 рисунок и 19 таблиц.
12
Глава 1. ОСОБЕННОСТИ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ
ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ
ИНФОРМАЦИОННОЙ СФЕРЫ
(^! 1.1. Вредоносные программы как источник угроз критически важным
сегментам информационной сферы
Вредоносные программы (разрушающие программные средства, специальные программно-математические воздействия, программные злоупотребления) относятся к классу специального программного обеспечения, разрабатываемого для осуществления противоправных действий в отношении компьютерной информации. Основными их функциями являются:
• несанкционированный доступ к информации, хранящейся в памяти компьютерной системы, с целью ее нелегитимного использования;
• скрытие действий, связанных с манипулированием информацией, и другие несанкционированные действия;
• частичный или полный вывод из строя компьютерных систем;
• изменение компьютерных данных и подделка электронных подписей; ф • хищение информации с последующей маскировкой результатов действий;
• манипуляция данными;
• перехват конфиденциальной информации;
• воздействие на системное программное обеспечение, приводящее к отрицанию существования утерянной информации;
• воздействие на системное программное обеспечение, приводящее к отказам в предоставлении услуг.
В основу проектирования вредоносных программ положен ряд принципов компьютерной вирусологии /27 - 30/, основными из которых являются:
обеспечение активности;
[Ф
обеспечение живучести;
комбинируемость свойств.
13
Активность обеспечивает вредоносной программе условия, в соответствии с которыми она всегда получает управление на себя, т.е. процессор должен начать выполнять команды, относящиеся к коду вредоносной про-граммы раньше команд любой прикладной или системной программы.
Такими условиями являются следующие:
• вредоносная программа должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия, и, следовательно, должна быть загружена раньше или одновременно с основной;
• вредоносная программа должна активизироваться по некоторому общему как для себя, так и для остальных программ событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление должно быть передано на вредоносную программу.
Это достигается путем анализа и обработки вредоносной программой общих относительно вредоносной и прикладной программы воздействий на вычислительный процесс (выделенных прерываний, операций с портами и т.д.).
Постоянная активность вредоносной программы обеспечивается технологией резидеитности. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.
Особенностью реализации нерезидентных вирусов, в отличие от резидентных является то, что они активны довольно непродолжительное время -только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы.
14
Свойство живучести вредоносных программ обеспечивается тремя механизмами: самодублированием, ассоциированием с другими программами и скрытностью.
Самодублирование вредоносной программы представляет собой процесс воспроизведения своего собственного кода в оперативной или внешней памяти компьютера. Этим свойством обладают вирусы, разрабатываемые по репликативной технологии.
Ассоциирование вредоносной программы с другой программой представляет собой процесс интеграции своего кода либо его части в код другой программы таким образом, чтобы при некоторых условиях управление передалось на вредоносную программу. Ассоциирование вредоносных программ с другими программами реализуется по технологиям файловых, загрузочных, макро- и сетевых вирусов.
Технология файловых вирусов является, на сегодняшний день, наиболее распространенным способом реализации ассоциативных свойств вредоносных программ. Особенностью файловых вирусов является то, что они либо различными способами внедряются в выполняемые файлы, либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Особенностью загрузочных вирусов является то, что они ассоциируются с загрузчиками операционных систем. При заражении дисков загрузочные вирусы «подставляют» свой код вместо программ, получающих управление при загрузке операционной системы. Принцип заражения стандартный - вирус копирует в код своего загрузчика системную информацию, хранящуюся в первоначальном загрузчике и «заставляет» операционную систему при ее перезапуске считать в память и передать управление не коду загрузчика, а коду вируса.
С учетом того, что системный загрузчик имеет вполне определенное место размещения во внешней памяти компьютера, а загрузочный вирус может иметь различную длину, современная технология таких вирусов позво-
15
ляет реализовывать различные варианты размещения во внешней памяти, как системного загрузчика, так и самого вируса.
Вместе с тем технология загрузочных вирусов имеет существенный не-достаток - два загрузочных вируса одновременно не могут использовать одни и те же дисковые сектора для размещения своего кода или данных. В результате код или данные первого вируса оказываются испорченными при заражении вторым вирусом, и операционная система либо зависает при загрузке, либо зацыкливается (что также приводит к ее зависанию).
Особенностью технологии макро-вирусов является то, что они ассоциируются с файлами-документами, электронными таблицами и базами данных наиболее популярных макро-систем формирования, хранения и обработки данных. Макро-вирусы являются программами на языках (макро-языках), встроенных в эти системы. Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Для существования вирусов в конкретной системе необходимо наличие встроенного в нее макро-языка с возможностями:
1) привязки программы на макро-языке к конкретному файлу;
2) копирования макро-программ из одного файла в другой;
3) возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).
Данная особенность макро-языков обеспечивает автоматическую обработку данных в компьютерных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в дру-• гие файлы, и таким образом заражать их.
Макро-вирусы, ассоциируемые с файлами макро-систем, как правило, используют один из трех перечисленных приемов - в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных
16
системных макросов (ассоциированный с какой-либо макро-функцией), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш.
Особенностью технологии сетевых вирусов является то, что для своего распространения они ассоциируются с протоколами или командами компьютерных сетей и электронной почты. Вирусы подобного типа часто называют еще и «червями». «Компьютерные черви» получили распространение исключительно в рамках компьютерных сетей. В основу работы данных программ положен механизм репликации. Однако в отличие от простейших репликаторов сетевые вирусы активно используют вычислительные ресурсы сетей.
Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию и запустить на выполнение свой код на удаленном компьютере или, создать условия для запуска пользователем зараженного файла.
Скрытность вредоносной программы обеспечивается применением stealth- и полиморфик-технологий.
Использование steal М-технопогий позволяет вредоносным программам полностью или частично скрыть себя в системе. Наиболее распространенным stealth-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Вредоносные программы при этом либо временно лечат их (с последующим повторным заражением), либо «подставляют» вместо себя незараженные участки информации.
Использование полиморфик-технологий позволяет максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержа- щие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием тела вируса.
17
В основу современных полиморфик-технологий положен механизм самообучения программы с целью изменения поведения в соответствии с конфигурацией и состоянием системы и адаптации к внешним или внутренним условиям. После запуска полиморфик-вирус должен проводить анализ характеристик среды на предмет возможности реализации своих механизмов.
Анализ проводится по двум направлениям. Первое направление - это анализ аппаратной части для определения платформы. Второе направление ориентировано на определение операционной системы и рабочей среды на каждом конкретном компьютере, информация о которой будет использована для определения возможного типа атаки. После анализа среды и получения несанкционированного доступа к информационной системе, в зависимости от целевой функции и конкретной аппаратной и программной среды, производится выбор стратегического механизма. При этом могут быть выбраны пассивные и/или активные механизмы. Основным этапом в реализации полиморфного программного злоупотребления является реализация стратегического механизма, призванного достигать основную цель программного злоупотребления. Если реализация этого механизма проходит ненормально, то осуществляется возврат на этапе выбора другого стратегического механизма или на этапе выбора и реализации тактического механизма (для случая, когда надо получить доступ к другому компьютеру, сети, системе). При успешной реализации рассматриваемого механизма может выполняться выдача нарушителю информации о проделанных операциях и достигнутых результатах. В качестве путей передачи информации нарушителем могут использоваться «скрытые каналы».
Последним этапом реализации полиморфик-вируса, как правило, явля- ется уничтожение следов действия стратегического механизма в компьютерной системе.
Существует деление полиморфик-вирусов на уровни в зависимости от сложности шифрования кода вируса.

 Часть из работы     Получить работу