Средства безопасности и защиты информации Microsoft Windows.
За последнее время корпорация Microsoft предприняла кардинальные шаги для того, чтобы ее продукты стали более защищенными и безопасными. Еще в начале 2002 года была приостановлена работа более чем 8,5 тысяч инженеров-разработчиков Microsoft с целью проведения интенсивной проверки безопасности исходного кода Windows. Среди мероприятий по повышению безопасности Windows можно назвать следующие:
Были изменены методы разработки ПО.
Создана клиент-серверная служба Software Update Services (SUS), позволяющая быстро устанавливать обновления на серверы и рабочие станции.
Windows Server 2003 теперь поставляется в конфигурации "безопасности по умолчанию", с максимально отключенными службами.
В состав обозревателя Internet Explorer включена технология, расширяющая возможности пользователя по созданию необходимого ему уровню безопасности.
Этим и многим другим технологиям, значительно повышающим надежность и безопасность Windows посвящено это занятие.
Понятие информационной безопасности и угрозы безопасности.
Информационная безопасность любой автоматизированной системы обработки информации (в том числе и рабочих станций под управлением любой ОС) - это состояние, в котором она:
способна противостоять угрозам (как внешним, так и внутренним) на обрабатываемую информацию;
не является источником угроз для собственных элементов и окружающей среды.
Под угрозой вообще обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Соответственно угрозой информационной безопасности считается возможность реализации воздействия на информацию, обрабатываемую в компьютерной системе, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты системы, приводящего к утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления. В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности, насчитывающий сотни пунктов. Для удобства их группируют в зависимости от свойств информации, которые могут быть нарушены в результате их реализацию. Обычно выделяют три группы:
Угроза нарушения конфиденциальности. Заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней, т.е. угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".
Угроза нарушения целостности. Предполагает любое незапланированное и несанкционированное изменение информации, хранящейся в системе или передаваемой из одной системы в другую. Санкционированными изменениями считаются те, которые сделаны уполномоченными лицами с обоснованной целью (например, запланированное изменение документов или базы данных). Целостность может быть нарушена в результате преднамеренных действий человека, а также - в результате возникновения случайной ошибки программного или аппаратного обеспечения.
Угроза нарушения доступности (или угроза отказа служб). Возникает всякий раз, когда в результате некоторых событий (преднамеренных действий или ошибки) блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоянным - запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку выдачи ресурса, достаточно долгую для того, чтобы он стал бесполезным.
Обычно причинами возникновения угроз безопасности могут быть:
целенаправленные действия злоумышленника;
объективные воздействия со стороны среды эксплуатации, например, перепады напряжения в сети электропитания, природные явления и т.п.;
стихийные бедствия и чрезвычайные ситуации;
ошибки человека:
разработчика - ошибки в реализации алгоритмов функционирования программного и аппаратного обеспечения;
администратора - ошибки в настройке системы;
пользователя - неквалифицированнее действия.
Разрушающие программные воздействия.
В настоящее время достаточно важным разделом компьютерной безопасности является борьба с так называемыми разрушающими программными воздействиями (РПВ). Под разрушающим программным воздействием понимается программа, реализующая угрозы безопасности. В настоящее время существуют три типа РПВ:
Компьютерные вирусы (computer virus) - деструктивные программы, которые способны в определенном окружении (например, под управлением конкретной ОС или другого ПО) создавать свои копии и внедрять их в объекты информационной системы, например файлы программ или документов. При этом термин "копия" употребляется весьма условно, поскольку на уровне последовательности выполняемых команд созданная "копия" может существенно отличаться от "оригинала-родителя". Важно, что сохраняется общая функциональная эквивалентность, а также способность к дальнейшему "размножению". Вирусы обычно классифицируются по управляющей среде. Выделяют следующие типы:
загрузочные вирусы - вирусы, поражающие загрузочные области дисков (например, MBR) и работающие под управлением BIOS; как правило, функциональность таких вирусов определяется системой команд микропроцессора;
файловые вирусы - вирусы, заражающие исполняемые файлы ОС и работающие под управлением ОС; функциональность этих вирусов также определяется системой команд микропроцессора и зависит от структуры исполняемых файлов ОС;
макровирусы, скрипт-вирусы и т.п. - вирусы, написанные на макроязыках или скрипт-языках и управляемые пользовательскими приложениями (например, Microsoft Word); функциональность вирусов этого типа вирусов определяется мощностью макроязыка (скрипт-языка) и не зависит от ОС.
Программы типа "червь" (worm) - программы, которые используют для своего распространения сеть. В отличие от вируса, классический "червь" не сохраняет своих копий на носителях и не внедряет их в такие объекты, как программы, документы или почтовые сообщения, копии передаются на удаленный компьютер и сразу исполняются в памяти. Весьма плодотворной средой для распространения "червей" некоторое время назад были сети под управлением ОС UNIX. В настоящее время, особенно в сетях Windows, где обычно не используется полноценная распределенная обработка классические "черви" не распространяются, но при этом достаточно "популярны" сетевые вирусы, использующие в качестве носителя передаваемые по сети файлы и сообщения электронной почты. Поэтому в настоящее время в понимании большинства пользователей размываются границы между двумя типами РПВ - "червями" и "сетевыми вирусами".
Программы типа "троянский конь" (trojan) - программы, которые наряду с объявленными (документированные) разработчиками функциями выполняют недокументированные. Такого рода программы представляют собой обычное прикладное или системное программное обеспечение, например текстовый редактор, драйвер какого-либо устройства и не имеют средств самораспространения.
С точки зрения рядовых пользователей, не занимающихся обработкой информации высокой стоимости, проникновение в систему разрушающих программных воздействий, особенно компьютерных вирусов, является основной проблемой безопасности.