Политика безопасности windows реферат

Обновлено: 02.07.2024

Группы защитных механизмов и угрозы безопасности.

Безопасность учетных записей и разграничение доступа.

Последняя версия Windows XP располагает следующими защитными механизмами: Авторизация и вход в систему – в этой области Windows XP предлагает свой механизм “Windows Logon”, который обеспечивает идентификацию и аутентификацию пользователей, вся парольная информация в Windows XP шифруется, реализована поддержка смарт-карт и токенов для авторизации. Реализованные механизмы позволяют обеспечить защиту от подбора паролей и, с помощью альтернативных идентификаторов, от несанкционированного получения пароля пользователя. Но в Windows XP не обеспечен должный уровень защиты хранимых паролей, используются слабые алгоритмы шифрования, из-за чего существуют способы относительно быстрого взлома паролей, при наличии доступа к объектам, в которых хранятся зашифрованные пароли.

Windows XP способна обеспечить полноценную защиту от несанкционированного доступа к файловым объектам и реестру. Основным недостатком системы разграничения доступа является установка прав администратора для пользователя по-умолчанию. Это приводит к тому, что большинство пользователей после установки операционной системы продолжают использовать административный аккаунт и разграничение доступа, фактически, не выполняет своих функций. Но при правильной настройки механизмы полностью выполняют возложенные на них функции по защите. Политики безопасности – включают в себя политики пользователей, политики безопасности и политики аудита. Наборы настроек, позволяющих гибко настроить уровень защищенности операционной системы.
Windows XP способна обеспечить полноценную защиту от несанкционированного доступа к файловым объектам и реестру. Основным недостатком системы разграничения доступа является установка прав администратора для пользователя по-умолчанию. Это приводит к тому, что большинство пользователей после установки операционной системы продолжают использовать административный аккаунт и разграничение доступа, фактически, не выполняет своих функций. Но при правильной настройки механизмы полностью выполняют возложенные на них функции по защите. Политики безопасности – включают в себя политики пользователей, политики безопасности и политики аудита. Наборы настроек, позволяющих гибко настроить уровень защищенности операционной системы.
Разграничение доступа – как и в Windows XP, поддерживается для объектов файловой системы и для системного реестра. Благодаря разделению административных и пользовательских учетных записей, работа под аккаунтом администратора практически исключена. При этом доработаны механизмы повышения привилегий по требованию.

Политики безопасности – данные механизмы были расширены, увеличилось число доступных опций и настроек.

Windows 8.1 не только обеспечивает защиту от всех основных угроз, связанных с авторизацией пользователей и несанкционированным доступом, но и позволяет сделать это с высоким комфортом и гибкостью.

Таблица 1. Сравнение безопасности учетных записей и разграничения доступа в Windows XP SP3 и Windows 8.1

Угрозы

Windows XP SP3

Windows 8.1

Подбор и взлом паролей

Windows Logon, слабая защита

Обновленный Windows Logon, сильная защита

Получение пароля пользователя

Смарт-карты и токены

Смарт-карты, токены, вход по пин-коду, авторизация по жестам

Несанкционированный доступ к файловым объектом и реестру Windows

Разграничение доступа, только для NTFS

Разграничение доступаDynamic Access Control

Прямой доступ к файловым объектам

Encrypting File System, только для жестких дисков

Утеря и кража носителей информации

BitLocker To Go

3. Защита от вредоносного программного обеспечения.

Таблица 2. Сравнение защиты от вредоносного программного обеспечения в Windows XP SP3 и Windows 8.1

В рамках Политики информационной безопасности разрабатываются положения и инструкции, в которых более подробно и детально излагаются основные принципы. Целью мой работы является изучение структуры политики безопасности, основные виды угроз. Также я хочу предложить способы защиты от различных видов угроз.

Содержание

1.Определение политики безопасности. 4

2.Структура политики безопасности. 6

3.Оценка рисков. 9

3.1.Идентификация активов. 9

3.2Идентификация угроз. 10

4. Основные виды нарушения режима сетевой безопасности

5.Защита режима сетевой безопасности

Список использованной литературы

Вложенные файлы: 1 файл

Федеральное государственное бюджетное образовательное учреждение.docx

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

“ ХГУ им. Н. Ф. Катанова”

Институт истории и права

Реферат по дисциплине “Информатика”

Выполнил: студент первого курса БЮ-111 Шаройкина Вера

Проверил: старший преподаватель кафедры ТФ и ИТ Остапенко Г. Г.

1.Определение политики безопасности. . . 4

2.Структура политики безопасности. . . 6

3.Оценка рисков. . . . .9

3.1.Идентификация активов. . . . 9

3.2Идентификация угроз. . . . 10

4. Основные виды нарушения режима сетевой безопасности

5.Защита режима сетевой безопасности

Список использованной литературы

Я считаю, что выбраная мною тема актуальна в наше время. Все чаще в литературе говорится о комплексных мерах защиты информации в компаниях. В первую очередь, для обеспечения необходимого уровня защищенности организации должны быть созданы правила безопасности. Документом, закрепляющим такие правила, выступает Политика безопасности. В ней закрепляются основополагающие принципы построения защищенной интрасети, а также правила поведения всех участников информационного обмена. В рамках Политики информационной безопасности разрабатываются положения и инструкции, в которых более подробно и детально излагаются основные принципы. Целью мой работы является изучение структуры политики безопасности, основные виды угроз. Также я хочу предложить способы защиты от различных видов угроз.

Чтобы было понятно, о чем пойдет речь, думаю, что стоит начать с того, что же такое политика безопасности и от чего она зависит.

Политика безопасности организации - это совокупность руководящих принципов , правил , процедур и практических приёмов в области безопасности , которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

от конкретной технологии обработки информации;
от используемых технических и программных средств;
от расположения организации.

В основе защиты доступа к коду (CAS) лежит идея, что сборкам можно лежит идея, что сборкам можно присваивать те или иные уровни доверия и ограничивать работу кода внутри этих сборок лишь некоторым набором операций. Безопасность доступа к коду еще называется безопасностью на основе подтверждения. Название подтверждение связано со следующим фактом: для принятия решений, что же можно делать коду, общеязыковая среда выполнения CLR использует некоторую информацию (подтверждение). Частью подтверждения может быть место, откуда код загружается, или цифровая подпись кода (кто именно его подписал). Политика безопасности — это конфигурируемый набор правил, используемый общеязыковой средой выполнения CLR для принятия таких решений. Эта политика устанавливается администраторами. Она может устанавливаться на уровне предприятия, машины, пользователя или прикладной области.

Политика безопасности определяется с помощью разрешений. Разрешения — это объекты, используемые для описания прав и полномочий сборок на доступ к другим объектам или на выполнение некоторых действий. Сборки могут запрашивать определенные разрешения. Именно политикой безопасности определяется, какие именно разрешения будут предоставлены сборке.
Вот, например, некоторые из тех классов, которые предоставляют разрешения:

SecurityPermission управляет доступом к системе безопасности. В понятие управления доступом входит право вызывать неуправляемый код, управлять потоками, принципалами, прикладными областями, подтверждениями и т п.,
FilelOPermission управляет доступом к файловой системе;
ReflectionPermission управляет доступом к метаданным, не являющимся общедоступными, а также к динамической генерации модулей, типов и членов.

Содержание политики безопасности

Политика безопасности — это документ "верхнего" уровня, в котором должно быть указано:

ответственные лица за безопасность функционирования фирмы;
полномочия и ответственность отделов и служб в отношении безопасности;
организация допуска новых сотрудников и их увольнения;
правила разграничения доступа сотрудников к информационным ресурсам;
организация пропускного режима, регистрации сотрудников и посетителей;
использование программно-технических средств защиты;
другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности.

Например, в политике может быть указано, что все прибывающие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконтролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных телефонов сотрудникам фирмы, при условии достаточного количества стационарных телефонов.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь "творческими" личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников. Эти обязанности должны разрабатывать-ся на основе политики, но не внутри нее.

Как описано в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие части:.

Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

Аудит - это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.
Событие безопасности - в Windows XP событием называется любое значительное изменение состояния системы или программы, о котором следует уведомить пользователей, а также событием называется запись в журнале. Служба журнала событий записывает события приложений, системные события и события безопасности в окне просмотра событий

Прикрепленные файлы: 1 файл

Практическая №2.docx

Итак, существуют две модели доступа:

Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.
Действие параметра не распространяется на интерактивный вход в сеть, выполняемый в удаленном режиме с использованием таких служб, как Telnet или службы терминалов.
Если компьютер не присоединен к домену, данный параметр также определяет внешний вид вкладок Доступ и Безопасность проводника Windows: они настраиваются в соответствии с выбранной моделью доступа и безопасности.

В случае гостевой модели любой пользователь, имеющий доступ к данному компьютеру через сеть (в том числе анонимный пользователь Интернета), получит доступ и к общим ресурсам этого компьютера. Следует обезопасить компьютер от несанкционированного доступа с помощью брандмауэра Windows или другого подобного устройства. Точно так же в случае классической модели локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь сможет с помощью такой учетной записи получить доступ к общим системным ресурсам.

Данная политика неприменима на компьютерах Windows 2000.

4.Средства определения политики аудита.

Панель управления > Администрирование > Локальная политика безопасности > Локальные политики > Политика аудита.

А.) Установить регистрацию в журнале аудита успешных и неудачных попыток для следующих политик аудита:

2).Изменения политики.

3).Использование привилегий.

4).Событий входа в систему.

5).Управления учетными записями.

Б).Какие ещё параметры политики аудита могут быть определены?

Аудит доступа к объектам
Аудит системных событий
Аудит доступа к службе каталогов
Аудит отслеживания процессов

В).Где расположен журнал аудита событий безопасности?

Панель управления > Администрирование >Просмотр событий > Безопасность.

Г).В чем заключается смысл параметров политики аудита?

5).Просмотр журнала аудита событий безопасности.

Выбираем нужный нам Аудит. Например на 08.12.2011.

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

- - Доступ к объектам

- - Управление учетными записями

- - Доступ к службе каталогов

Код входа: (0x0,0x169E

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

- - Доступ к объектам

- + Управление учетными записями

- + Доступ к службе каталогов

Код входа: (0x0,0x169EC)

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

- - Доступ к объектам

- - Управление учетными записями

- - Доступ к службе каталогов

Код входа: (0x0,0x169EC)

6).Средства определения политики ограничений использования программ.

А).Создание правила для сертификата.

Б).Создание правила для хеша.

В).Создание правила для зоны Интернет.

Это правило применяется к программам, установленным с помощью установщика Windows.

Г).Создание правила для пути.

7).Контрольные вопросы.

В чем уязвимость с точки зрения безопасности информации принимаемая по умолчанию реакция системы на превышения размера журнала аудита?

Какое из дополнительных правил ограниченного использования программ кажется Вам наиболее эффективным и почему?

Из каких этапов состоит построение политики безопасности для компьютерной системы?

определение, какие данные и насколько серьезно необходимо защищать,
определение кто и какой ущерб может нанести фирме в информационном аспекте,
вычисление рисков и определение схемы уменьшения их до приемлемой величины.

К чему может привести ошибочное определение политики безопасности (приведите пример)?

К потере или повреждению данных и(или) системы.

Почему, на ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных в данной лабораторной работе параметров политики безопасности?

Из-за недостатка времени и потому, что на большинстве компьютеров они не нужны.

Ответы на вопросы

Какие события безопасности должны фиксироваться в журнале аудита?

В Журнале событий фиксируются следующие виды событий:

Количество событий, которые записываются в журнал, очень велико, поэтому анализ журнала событий может быть довольно трудоемкой задачей. Для этого разработаны специальные утилиты, помогающие выявлять подозрительные события. Кроме того, можно фильтровать журнал по задаваемым критериям.

Использование мониторинговых программ в вычислительной сети. Организационные методы защиты. Разработка антивирусного обеспечения. Функции устройств-кейлоггеров. Обнаружение клавиатурных шпионов. Контроль доступа к персональным компьютерам и серверам.

Рубрика	Программирование, компьютеры и кибернетика
Вид	реферат
Язык	русский
Дата добавления	30.05.2014
Размер файла	36,2 K

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Введение

В настоящее время наиболее широкое распространение получили аппаратные устройства, а также программное обеспечение, скрытно отлеживающее деятельность пользователей персональных компьютеров.

Наиболее опасными являются мониторинговое ПО и аппаратные устройства, скрытно и несанкционированно устанавливаемые без ведома администратора либо пользователя на персональный компьютер. Как правило, ПО либо аппаратные устройства такого типа устанавливаются дистанционно.

Санкционированное программное обеспеченное и аппаратные устройства устанавливаются службой безопасности для обеспечения контроля безопасности сети. Они позволяют отслеживать действия пользователей, а так же идентифицировать процессы. Это позволяет контролировать сотрудников в соблюдении правил безопасности организации либо политики безопасности при работе на компьютерах.

Использование мониторинговых программ дает администратору сети следующие возможности:

- Локализовать случаи попыток несанкционированного доступа к информации, а так же указать время и рабочее место, с которого осуществлялась попытка.

- Отследить несанкционированно установленное программное обеспечение.

- Контролировать использование ПК.

- Отследить случаи использования модемов в локальной сети.

- Отследить случаи набора на клавиатуре слов и словосочетаний, подготовки документов, передача которых третьим лицам может грозить предприятию материальным ущербом.

- Контролировать доступ к персональным компьютерам и серверам.

- Контролировать собственных детей при использовании сети Интернет.

- Исследовать и расследовать компьютерные инциденты.

- Контролировать загрузку рабочих мест предприятия.

- Восстанавливать информацию после сбоя компьютерных систем.

Установка несанкционированных программ дает возможность злоумышленнику:

- Получать доступ к системам криптографии пользователя ПК - к парольным фразам, а так же к закрытым и открытым ключам.

- Получать авторизационные данные кредитных карточек и т.д.

1. Общие сведения

Spyware - программы, записывающие информацию о поведении пользователя в сети Интернет и отправляющие ее своему создателю. Такие приложения обычно попадают на ПК в качестве бесплатного программного обеспечения, представленного различными рекламными баннерами, online-игры, различные download-менеджеры, порно-сайты и т.д. Spyware-программы в основном представляют опасность браузеру Microsoft Internet Explorer, пользователям же современных браузеров опасности не представляют. Современные Spyware-приложения, такие как “Drive-by downloads” попадают на ПК без ведома пользователя, обычно при посещении web-сайтов либо при открытии заархивированных файлов, а так же при нажатии на всплывающие окна, содержащие в себе элемента Java Applet, ActiveX и т.п.

Чаще всего программы шпионы загружаются в компьютер вместе с каким-нибудь полезным программным обеспечением, скачиваемым из Интернета либо устанавливаемым с CD-диска и других носителей. В большинстве случаев программы попадают на ПК легально, так как пользователь, не читая условия лицензионного, дает разрешение на установку продукта.

Adware- рекламное программное обеспечение навязывающее пользователю просмотр рекламы, на протяжении запуска программы. Приложения такого типа загружаются вместе с бесплатным программным обеспечением или при просмотре web-сайтов.

Dialers- программы дозвона, служащие для подключения ПК к какому-либо платному сервису. В результате пользователю приходит счет за пользование сервисом, о котором пользователь не подозревал.

2. Клавиатурные шпионы

В настоящее время существует огромное количество программ- кейлоггеров. Они не представляют опасности для системы, но для пользователя опасны, так как с помощью него можно заполучить конфиденциальную информацию и пароли.

2.1 Использование методики ловушек

2.2 Использование методики опроса клавиатуры

Принцип этой методики заключается в периодическом опросе состояния клавиатуры, использующую специальную функцию GetKeyboardState. Данная функция возвращает массив из 255 байт, где каждый из них содержит информацию об определенной клавише на клавиатуре. Недостатком является необходимость периодического опроса состояний клавиш со скоростью не менее 10-20 раз в секунду.

2.3 Аппаратные устройства

Аппаратные клавиатурные шпионы - это устройства, могут быть прикреплены между клавиатурой и компьютером либо встроен внутрь клавиатуры. Они способны записывать сотни символов вводимых с клавиатуры, в том числе логины и пароли, данные кредитных карт, почтовые реквизиты.

Клавиатурные шпионы не требуют установки каких-либо дополнительных программ. Такие устройства содержат внутри энергонезависимую память и могут сохранять до 10 миллионов нажатий клавиш. Как правило, такие устройства длительное время остаются незамеченными, так как имеют слишком маленькие размеры, но они требуют постоянного физического доступа. В настоящее время наиболее распространены следующие кейлоггеры: KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger. Производящиеся компаниями Alien Concepts, Inc, Amecisco, KeyGhost Ltd, MicroSpy. Аппаратные шпионы делятся на: внутренние и внешние.

Внутренние кейлоггеры- это устройство со встроенным аппаратным модулем перехвата нажатий клавиш в корпус клавиатуры. Представляет собой небольшое устройство, внедряемое в разрыв шнура клавиатуры, встроенное в корпус клавиатуры. Потому они слишком сложно обнаруживаются и обезвреживаются.

Внешние- подключаются между клавиатурой и компьютером, выглядят обычно как оборудование для персонального компьютера. Они не требуют ни батарей, ни программ, и способны работать на любом компьютере.

Рис. 1. Места установки аппаратных кейлоггеров.

- Закладка устройства внутри клавиатуры.

- Бесконтактное считывающее устройство.

- Установка аппаратного кейлоггера в разрыв кабеля клавиатуры.

- Закладка устройства внутри системного блока.

- Съем при помощи акустических и электромагнитных излучений.

2.4 Кейлоггер на базе драйвера

Этот метод является наиболее эффективным описанным выше. Два варианта установки: установка своего драйвера вместо стандартного, и установка драйвера-фильтра. Принцип работы такого шпиона заключается в установке драйвера, который подключается в качестве фильтра к основному драйверу клавиатуры. Драйвер фильтр может быть установлен при помощи приложения, которое либо самоуничтожается, либо принимает, обрабатывает и отправляет данные.

3. Методы борьбы со шпионами

3.1 Методы борьбы со шпионским ПО

Для того чтобы обнаружить и удалить несанкционированное мониторинговое программное обеспечение используются множество программ, использующих сигнатурные базы, но обнаружить и удалить они могут только то шпионское ПО, образец которых храниться в сигнатурной базе. По такому принципу работают все производители антивирусного программного обеспечения.

Но существуют и программы-шпионы другого типа, так называемые неизвестные программы шпионы, представляющие большую опасность для автоматизированных систем. Таких существует пять типов:

- Шпионское программное обеспечение, разрабатываемое под контролем правительственных организаций.

- Шпионы, создаваемые разработчиками различных операционных систем и включаемые в состав ядра операционных систем.

- Шпионы, созданные в ограниченном количестве, для решения конкретной задачи. Как правило - это программы с видоизмененной сигнатурой.

- Коммерческие и корпоративные программные продукты, редко вносящиеся в сигнатурные базы.

- Шпионы, представляющие собой keylogging-модули, которые включаются в состав вирусных программ. До тех пор пока не внесены сигнатурные данные в вирусную базу, модули являются неизвестными.

Шпионские программы первого и третьего типа не могут обнаруживаться программами, использующими сигнатурный анализ, так как информация о них нигде не распространяется и их код не может быть внесен в сигнатурные базы.

Шпионские программы второго типа тоже не могут обнаруживаться так как они работают на уровне ядра ОС и информация о них не распространяется.

Четвертый тип очень редко вносится в сигнатурные базы, потому что это противоречит законодательству многих стран. Но даже когда это происходит, то остановить деятельность, а тем более удалить их практически не возможно без нарушения операционной системы. Поскольку они не имеют своих процессов, то прячутся в системные процессы в виде потоков. Так же они умеют самовосстанавливаться после сбоев, контролировать целостность, способны работать только с памятью не трогая жесткий диск.

Внесение в сигнатурные базы шпионов пятого типа происходит через несколько часов или дней, но за это время информация пользователя ПК уже может быть украдена и отправлена злоумышленнику.

Для защиты персонального компьютера от шпионов, разумно использовать комплексные меры защиты, т.е. несколько программных продуктов:

- Программный продукт с непрерывной защитой, не использующим сигнатурные базы, а использующий эвристические механизмы защиты, которые создаются опытными специалистами в борьбе с программами шпионами.

- Антивирус, постоянно обновляющий сигнатурные базы.

- Firewall, который контролирует выход в интернет, на основании установок пользователя.

Антивирус реагирует на проникновение вируса с keylogging модулем, но после того как информация уже была перехвачена, так как сигнатурные базы не успели пополниться и обновиться на ПК.

Firewall задает слишком много вопросов, на которые можно не правильно ответить, и тем самым ошибочно его сконфигурировать. Более того многое мониторинговое ПО, использует стандартные программы для выхода в Интернет, такие как почтовые клиенты и браузеры. А это значит, что информация, которая была перехвачена при бездействии антивируса, будет отправлена злоумышленнику.

Программный продукт первого типа работает непрерывно, в фоновом режиме, выполняя свою работу не задавая лишних вопросов. Такой продукт является единственным на сегодняшний день, под названием PrivacyKeyboard™.

Антивирусное ПО, постоянно обновляющее свои сигнатурные базы: AVP, AVZ, Dr.Web, Panda Antivirus, Norton Antivirus, и прочие. Межсетевые экраны: Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и другие.

PrivacyKeyboard™ блокирует работу шпионов, благодаря алгоритмам способным отличить работу шпиона от любого другого приложения в системе.

PrivacyKeyboard™ имеет в составе модели, которые обеспечивают защиту от:

- Перехвата нажатий клавиш;

- Перехвата текста окон;

- Снятия изображения рабочего стола и активных окон;

Так же PrivacyKeyboard™ имеет собственную защиту от разрушения шпионами, систему контроля целостности и другие функции защиты.

Методы борьбы с аппаратными клавиатурными шпионами:

- Физический поиск и устранение;

- Использование виртуальных клавиатур при вводе конфиденциальной информации.

3.2 Организационные методы защиты

В настоящее время шпионское программное обеспечение занимает второе место в списке угроз безопасности сети, после троянских программ и сетевых червей.

Не одно антивирусное программное обеспечение не дает абсолютной защиты сети, даже в том случае если сеть является замкнутой. Потому что шпионское программное обеспечение может попасть в сеть с любым другим разрешенным программным обеспечением.

Виды последствий атак шпионского программного обеспечения:

- Задействование вычислительных ресурсов сети;

- Снижение пропускной работы сети;

- Снижение продуктивности работы пользователей;

- Загрузка вредоносного программного обеспечения;

- Вмешательство в частную жизнь;

3.3 Программные средства защиты

Сейчас существует множество программ для обнаружения и удаления шпионского программного обеспечения. Выбор осуществляется масштабом сети предприятия и стоимостью антишпионского программного обеспечения. Для небольших предприятий лучше использовать антишпионское ПО независимых поставщиков, при хороших функциональных возможностях они имеют невысокую стоимость.

Для компаний в которых существует сложная сетевая инфраструктура, нерационально использовать антишпионское ПО независимых поставщиков, так как возникает проблема интеграции продукта с системой управления, а дополнительные консоли снижают время реагирования на инциденты безопасности. Все это повышает стоимость обслуживания сети. Сложная сеть требует антишпионское и антивирусное ПО, интегрируемое в систему безопасности. Для использования единых инструментов управления. Многие крупные разработчики антивирусного ПО предлагают свои продукты антишпионского ПО, встроенные в пакет антивирусного ПО и отдельными программными продуктами.

3.4 Программные продукты для обнаружения и удаления клавиатурных шпионов

Клавиатурные шпионы могут находиться любыми антивирусными программными продуктами, но так как шпионы не являются вирусами, пользы от антивируса мало.

Существуют специальные утилиты для поиска и удаления клавиатурных шпионов. Они являются наиболее эффективными, так как могут находить любые разновидности шпионов. Такие утилиты используют эвристические и сигнатурные механизмы поиска, например, утилита AVZ.

мониторинговый антивирусный персональный компьютер

4. Защита на практике

В данном примере будет показано, как при помощи библиотек DLL прекратить работу простого Кейлоггера на основе функции SetWindowsHookEx.

Для начала запишем код простого Кейлоггера.

Procedure WriteLog(const log: PChar);

buf: array[0..1] of Char;

hFile := CreateFile(PChar('kl'), GENERIC_WRITE, 0, nil, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);

If (hFile <> INVALID_HANDLE_VALUE) Then

dwError := SetFilePointer(hFile, 0, nil, FILE_END);

If (dwError <> $FFFFFFFF) Then

WriteFile(hFile, log^, length(log), dwWritten, nil);

WriteFile(hFile, buf, 2, dwWritten, nil);

Function HookProc(nCode: LongInt; wParam, lParam: LongInt): LongInt stdcall;

lpszName: Array[0..255] Of Char;

If (nCode = HC_ACTION) And ((lParam shr 31) = 1) Then

GetKeyNameText(lParam, @lpszName, $FF);

Result := CallNextHookEx(Hook, nCode, wParam, lParam);

procedure sethook(flag:bool);export; stdcall;

hook := SetWindowsHookEx(WH_KEYBOARD, @HookProc, hInstance, 0)

Данный Кейлоггер считывает нажатие клавиш и записывает в файл.

Антикейлоггер это .exe приложение, которое устанавливает Hook с помощью функции SetWindowsHookEx и использует DLL. В отличие от кейлоггера Hook устанавливается не в WH_KEYBOARD, а на WH_DEBUG. WH_DEBUG это фильтр через который происходят вызовы связанные с другими типами фильтров.

Function DebugProc(nCode: LongInt; wParam, lParam: LongInt): LongInt stdcall;

If (nCode = HC_ACTION) Then

If (wParam = WH_KEYBOARD) Then

Result := CallNextHookEx(Hook, nCode, wParam, lParam);

procedure sethook(flag:bool);export; stdcall;

hook := SetWindowsHookEx(WH_DEBUG, @DebugProc, hInstance, 0)

В настоящее время количество spyware-приложений становиться все больше, в связи с этим наблюдается все больше WEB-сайтов и злоумышленников, которые извлекают выгоду при установке шпионов и краже конфиденциальной информации.

Поэтому нужно хорошо понимать всю серьезность ситуации и уметь защищаться от нежелательного программного обеспечения. Во-первых, следует использовать современные, альтернативные браузеры такие как Google Chrome, Fire Fox, Opera и др. Во-вторых нужно регулярно осуществлять профилактику персонального компьютера при помощи специального антишпионского программного обеспечения и антивирусов поддерживающих обнаружение и удаление программ-шпионов.

Клавиатурный шпион хоть и не представляет опасности для компьютера, но для пользователя слишком опасны. Они позволяют завладеть конфиденциальными данными пользователя, в том числе паролями и данными кредитных карт. При использовании кейлоггера в сочетании с RootKit-технологией, маскирующей присутствие шпиона, он становиться еще опаснее.

Для защиты информации следует следить не только за персональными компьютерами, но и локальной сетью в которой они находятся. В первую очередь этим должны заниматься сотрудники службы безопасности, а так же пользователи, которые должны быть проинструктированы и знать правила политики безопасности.

Подобные документы

Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.

дипломная работа [1,6 M], добавлен 26.05.2014

Использование операционных систем. Контрольно-испытательные методы анализа безопасности программного обеспечения. Логико-аналитические методы контроля безопасности программ и оценка технологической безопасности программ на базе метода Нельсона.

контрольная работа [22,6 K], добавлен 04.06.2012

Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.

дипломная работа [2,3 M], добавлен 19.01.2015

Анализ локальной сети предприятия, оценка возможных угроз. Основные понятия безопасности компьютерных систем. Пути несанкционированного доступа, классификация способов и средств защиты информации. Идетификация и аутификация, управление доступом.

отчет по практике [268,1 K], добавлен 16.01.2013

Общий анализ структуры локальной вычислительной сети военного назначения. Необходимость повышения защиты информации путем использования дополнительных средств защиты. Создание виртуальных защищенных сетей в рамках локальной компьютерной сети объекта.

дипломная работа [1,2 M], добавлен 20.10.2011

Использование и создание компьютерных средств обучения. Содержание и реализация электронной обучающей программы. Методы защиты программ от несанкционированного доступа. Разработка эскизного, технического и рабочего проектов программы, ее интерфейса.

курсовая работа [462,8 K], добавлен 05.04.2014

Знакомство с проблемами обнаружения вредоносного программного обеспечения для мобильных устройств. Анализ функций антивирусного пакета Kaspersky Mobile Security 8.0. Характеристика наиболее распространенных антивирусных программ для мобильных устройств.

Читайте также: