Способы определения модификаций информации

Определение случайных модификаций. Для определения случайных модификаций информации ее эталонная характеристика может быть открытой для доступа. В этом случае формирование характе

ристики обнаружения модификаций может осуществляться в соответствии со схемой последовательного контрольного суммирования по операции исключающего ИЛИ (XOR) двоичных блоков, составляющих контролируемую на целостность информацию.

Определение преднамеренных модификаций. Для определения не только случайных, но и преднамеренных модификаций информации ее эталонная характеристика должна защищаться криптографическими методами или формироваться на основе криптографических преобразований. Рассмотрим два наиболее часто используемых способа формирования характеристики обнаружения модификаций на основе криптографических преобразований:

• метод шифрования в режиме объединения;

• метод вычисления хэш-функции.

При доступе к зашифрованному информационному объекту выполняются следующие действия:

1) после ввода ключа этот объект расшифровывается;

2) для определения его целостности вычисляется по описанному способу текущая характеристика обнаружения модификаций;

3) полученная текущая характеристика обнаружения модификаций сравнивается с эталонной, хранящейся вместе с зашифрованным информационным объектом, и при их совпадении выдается сообщение, что контролируемая на целостность информация не подвергалась изменению.

После расшифровывания информационного объекта при непосредственном контроле информационной целостности вычисленное текущее значение хэш-функции сравнивается с эталонным, хранящимся вместе с зашифрованными данными.

Стойкость данной схемы основана на стойкости блочного шифра, для которого по известным входному и выходному сообщениям нельзя вычислить ключ. Если бы ключ можно было бы вычислить, то хэш-функция не обладала бы необходимой стойкостью, т. е. допускала бы модифицирование информации без изменения значения хэш-функции.

Практическая реализация контроля целостности. Подсистема контроля информационной целостности является неотъемлемым компонентом любой специализированной системы защиты информации. Данная подсистема должна обеспечивать периодический контроль целостности не только конфиденциальных данных, но и всей системной информации, задающей требуемые режимы и параметры функционирования компьютера. Это позволяет своевременно обнаруживать как попытки подлога и потери конфиденциальной

информации, так и внедрение несанкционированных программ (программных закладок и компьютерных вирусов).

Таким образом, функции по контролю информационной целостности наряду с проверкой целостности конфиденциальной информации обеспечивают своевременное обнаружение отклонений текущего состояния рабочей среды компьютера от эталонного. По этой причине подсистему контроля информационной целостности часто называют подсистемой обеспечения эталонного состояния рабочей среды вычислительной системы.

Наиболее надежные системы защиты, например система «Кобра», обеспечивают не только своевременное обнаружение отклонений текущего состояния рабочей среды компьютера от эталонного, но и автоматическое восстановление ее основных компонентов (содержимого CMOS-памяти, главной загрузочной записи винчестера, включая его таблицу разделов, загрузчика DOS, CONFIG.SYS, AUTOEXEC.BAT и т. д.).

Для контроля информационной целостности также можно использовать антивирусные программы, называемые ревизорами. Однако перед выбором ревизора следует выяснить, обеспечивает ли он выполнение функций по контролю целостности файлов данных, так как основное назначение ревизоров — контроль целостности программ.

Организация контроля

При установке и использовании программных средств контроля информационной целостности должны быть выполнены следующие этапы:

1. Проведены тщательный анализ всех файлов конфигурирования и настройка на отсутствие вызовов несанкционированных программ. При обнаружении такие вызовы следует удалить, а также установить и устранить причину их появления.

2. Проведен тщательный анализ вычислительной системы на наличие вирусов и осуществлено полное обезвреживание обнаруженных вирусных программ с помощью обновленной версии транзитного сканера. Для большей эффективности процессов поиска и обезвреживания вирусов целесообразно независимое применение нескольких различных сканеров.

3. Установлены требуемые режимы и параметры рабочей среды компьютера.

4. Формирование с помощью специализированной программы, например ревизора, следующих эталонных характеристик рабочей среды компьютера:

• содержимого загрузочных секторов жестких дисков;

• содержимого CMOS-памяти;

• контрольных сумм содержимого файлов конфигурирования и настройки, например файловАИТОЕХЕС.ВАТ, CONFIG.SYS, MNI для MS-DOS/Windows 3.XX, а также SYSTEM.DAT и USER.DAT для Windows 95/98/МЕ;

• контрольных сумм или описания структуры содержимого оперативной памяти компьютера;

• информации о количестве и расположении сбойных кластеров жестких дисков (некоторые вирусы размещают свои тела в свободных кластерах, помечаемых затем этими вирусами как сбойные);

• контрольных сумм содержимого файлов с программами, а также их системных характеристик: пути, даты и времени создания, длины, значений атрибутов, а при необходимости, и адресов физического расположения;

• контрольных сумм и системных характеристик файлов с конфиденциальными данными.

5. Осуществлялась периодическая проверка специализированной программой, например ревизором, соответствия реальных характеристик элементов компьютерной системы их эталонным характеристикам, которые эти элементы имели при целостном (эталонном) состоянии. В зависимости от возможностей специализированной программы контроля могут использоваться следующие виды периодических проверок:

• строго периодическая, например ежедневная, при которой проверяются все элементы компьютера, для которых созданы эталонные характеристики;

• в режиме реального времени, при которой осуществляется проверка контролируемых элементов только при попытке их использования, например при попытке запуска программ и открытия документов.

При обновлении контролируемых на целостность информационных объектов, например при изменении файлов конфигурирования и настройки, должны быть изменены и их эталонные характеристики.

Для файлов с конфиденциальными данными эталонные характеристики следует формировать после каждого обновления или создания этих файлов. Для высокой безопасности непосредственный контроль целостности файлов с информацией повышенного уровня секретности целесообразно выполнять не только ежедневно, но и перед доступом к этим файлам.

В случае обнаружения несоответствия реальных характеристик эталонным перед принятием мер необходимо выяснить причину этого несоответствия. Возможны следующие причины:

• после обновления элементов, для которых формировались эталонные характеристики, не была обновлена эталонная информация;

• произошло повреждение контролируемых элементов данных из-за сбоев или отказов программно-аппаратных средств;

• произошла несанкционированная модификация информационных файлов;

• произошло заражение программ компьютерным вирусом. Особенности использования программ непосредственного контроляПрограммы, предназначенные для непосредственного контроля соответствия текущих характеристик элементов данных их эталонным характеристикам могут функционировать транзитно и резидентно.

Транзитные программы контроля загружаются в оперативную память только для выполнения проверок. Резидентные же программы после запуска остаются в оперативной памяти и проверяют контролируемые элементы компьютера при возникновении с ними определенных событий (открытие документов, запуск и модификация программ, копирование, создание, переименование файлов и т. д.). Наибольшая результативность контроля информационной целостности достигается при совместном использовании транзитного и резидентного средства, когда осуществляется не только строго периодическая, например ежедневная проверка, но и динамический контроль элементов данных на соответствие эталонным характеристикам. При этом следует учитывать, что использование резидентной программы контроля приводит к снижению быстродействия функционирования компьютера.

Для транзитной программы контроля должны быть предусмотрены следующие режимы работы:

• первый запуск для формирования эталонных характеристик подлежащих контролю информационных объектов компьютера после поиска и обезвреживания вирусов транзитным сканером и тщательной проверки файлов конфигурирования на отсутствие вызовов программных закладок;

• ежедневный запуск в процессе загрузки операционной системы для проверки всех контролируемых информационных объектов (в оперативной памяти, а также на всех логических дисках); и по мере необходимости для формирования эталонных характеристик созданных или обновленных файлов с конфиденциальной и системной информацией;

• запуск по мере необходимости для формирования эталонных характеристик программ, поступающих извне, после проверки их транзитным сканером.

Для активизации строго периодического запуска транзитной программы контроля может использоваться резидентная программа-планировщик.

Запуск резидентной программы контроля для ее постоянного нахождения в оперативной памяти должен осуществляться в процессе загрузки операционной системы.

Недостатком программ контроля информационной целостности является настойчивость и требовательность по отношению к пользователям, так как пользователями или администраторами не всегда вовремя обновляются эталонные данные. Но этот недостаток с лихвой компенсируется значительным повышением степени защищенности от подлога и потери данных, а также внедрением программных закладок и компьютерных вирусов.

Поиск по сайту: