Разработка систем безопасности
         

Вирусы, "черви" и "троянские кони"

Не проходит и недели без слухов о новых вирусах, "червях" и "троянских конях", которые инфицировали сети или компьютеры. Решение этих проблем не только требует немалых денежных затрат, но и чревато снижением объема производства, который может в дальнейшем и не быть компенсирован. Несмотря на то, что эти проблемы в первую очередь влияют на определенный тип операционной системы и программное обеспечение определенного поставщика, не существует операционных систем, которые давали бы полную гарантию защищенности от вирусов. Следует помнить, что первый известный "червь" был запущен в 1988 году и предназначался для атаки систем Digital VAX и Sun System, работавших под управлением одной из версий UNIX.

При разработке правил безопасности в первую очередь необходимо определить цель такой защиты. Некоторые могут подумать, что это не обязательно, но только так можно определить требования, предъявляемые к разрабатываемым правилам, а также сделать их более эффективными. После этого в правилах, прежде чем обсуждать роль пользователей в реализации правил, необходимо определить, каким образом организация обеспечит защиту от вирусов (централизованно или локально), а также в правила следует включить


руководства по эксплуатации заимствованного программного обеспечения.

Цель защиты

Некоторые организации понимают, что необходимо помнить о юридических проблемах, возникающих в результате работы программ сканирования информации на пользовательских системах. Многие же считают, что об этом не стоит беспокоиться, и в вашей организации могут никогда не узнать, насколько неправильно можно истолковывать правила, пока сами не столкнутся с данными проблемами (см. главу 11 "Правила надежной работы"). Это не означает, что проблем нельзя избежать. Но многие корпоративные юристы хотят ввести формулировку о необходимости защиты от вирусов и праве организации выбирать антивирусное программное обеспечение.

Предостережение от традиционного подхода к защите от вирусов
Традиционный подход к защите от вирусов заключается в том, чтобы заниматься только проблемами, возникающими в системах, построенных на платформах Windows различных версий, или в других приложениях, разработанных компанией Microsoft. Однако, проблемы с вирусами возникают и в других системах независимо от того, на какой операционной системе они базируются. Вирусы, которые появляются в определенных приложениях, могут инфицировать любую систему, в которой эти приложения запускаются. Одним из примеров является система Lotus Notes, которая может распространять вирусы на серверы UNIX, запускающие сервер Notes, но также и в том случае, когда запускается Windows NT. Существуют даже "неудаляемые" (proof-of-concept) вирусы для устройств, работающих в PalmOS.
Если организация работает с межплатформными приложениями, то правила должны требовать защиту всех платформ, а не только систем, работающих в Windows.

Один из способов обеспечения ответственности за безопасность информации заключается в том, чтобы включить в правила требование запускать антивирусную программу, причем в правилах должно быть подчеркнуто, что область действия правил ограничивается только этой программой. Несмотря на то, что существует определенная специфика, основанная на стратегии использования антивирусной программы (т.е. централизованные или распределенные программы), следует начать с установки программы. Ниже следует пример формулировки, предложенной юристом.

Организация должна использоватъ все возможности для предотвращения распространения компьютерных вирусов, "червей" и "троянских коней" в сетевых системах. Эти средства необходимо использоватъ исключительно для предотвращения распространения таких проблем по сети.
Пользователи должны принимать участие в этой программе и никакими действиями не препятствовать ее проведению.

На консультации у юриста...
В старой шутке говорится, что если вы пригласите двух юристов, то будете иметь три разных мнения, и ни одно из них не будет правильным, когда речь идет о юридических правах и информационной безопасности. Несмотря на то, что автор склоняется к тому, что юристам можно позволить накладывать запрет на отдельные технические решения при разработке правил информационной безопасности, не следует бояться задавать вопросы по поводу их правовых решений по отдельным пунктам.
Один юрист говорил, что наибольшие ошибки юристы совершают при подаче сомнительных исков. Например, если формулировка правил может быть воспринята как касающаяся кадровых вопросов, они полагают, что любые проблемы возможно разрешить на основе трудового законодательства.


Не в каждой организации хотят иметь в правилах формулировку, похожую на статью уголовного кодекса. Если предположить, что в организации будет установлено антивирусное программное обеспечение на всех системах вместо того, чтобы использовать сетевые фильтры, то желательно включить в правила формулировку подобную следующей.

На всех пользовательских системах еще до того, как они будут подключены к сети, следует установить программное обеспечение для защиты от вирусов. Пользователи должны содействовать обновлению этого программного обеспечения, а также не должны отключать эти средства. Если антивирусное программное обеспечение по каким-то причинам отключено, например, по причине установки нового программного обеспечения, то пользователю необходимо провести полное сканирование системы перед ее использованием.


Определение типа защиты от вирусов

Существует более дюжины компаний, предлагающих различные решения защиты сети от вирусов, "червей" и "троянских коней". Эти решения предполагают установку защиты на каждом канале поступления информации, в каждой системе или комбинацию этих решений. Существуют и другие решения, когда вложение и сегменты перемещаемых программ переносятся в другую систему, в которой данное вложение будет запущено на выполнение. Это дает гарантию, что если возникнут проблемы, то не на основной сети.

Перемещаемые программы
Новая запись, появившаяся в перечне вопросов к руководству, названному "Часто задаваемые вопросы" (Frequently Asked Questions), — "Что такое перемещаемая программа?". Концепция перемещаемых программ появилась, когда компания Sun разработала язык Java и операционную среду для него. Она заключается в написании одной единственной программы, которая будет работать, где угодно. Путем создания перемещаемых программ, которые загружаются с сетевого сервера, такого как Web-сервер, решена задача, когда одна программа может быть отправлена на любую систему и будет в ней работать.
В настоящее время самое распространенное использование перемещаемых программ в Internet для повышения технического уровня пользователя при работе с Web-узлом. Но принцип перемещаемых программ можно использовать для доставки любых типов приложений, в том числе вирусов и другой гадости.

Тонкость формулировки правила защиты от вирусов заключается в том, чтобы разработать правило, которое не обязывает организацию эксплуатировать какой-то определенный антивирусный пакет программ, поскольку может возникнуть желание сменить его. В большинстве организаций устанавливают антивирусный пакет программ на каждой отдельной системе и запускают его всякий раз, когда пользователь регистрируется в сети. В других организациях используют сетевое оборудование для сканирования трафика, проходящего через определенные контрольные точки. И, наконец, существуют системы, которые сканируют электронную почту и тестируют вложения в отдельной контрольной системе.

Независимо от используемой системы в правилах следует разъяснять, как обрабатывать зараженные вирусами программы. Например, если в организации используется система, которая сканирует вложения электронной почты отдельно от остальных входящих потоков, то это должно быть оговорено в правилах. Это необходимо сделать, поскольку при допросе в суде обязательно нужно будет открыть наличие в организации сканирования, чтобы избежать других обвинений.

В правилах встречаются три типа формулировок, которые определяют полную программу защиты от вирусов. В первой формулировке устанавливается тип необходимого антивирусного мониторинга и тестирования. Затем необходима формулировка проверки целостности системы, которая поможет организации подтвердить работоспособность программы. И, наконец, необходимо рассмотреть правила проверки на вирусы для распределенных или съемных носителей (например, гибких дисков, архивов на ленте и т.п.).

Тестирование на вирусы

Предположим, что в организации приняли решение использовать распределенный подход для защиты от вирусов. (Размеры организации значения не имеют.) В качестве этапа выполнения программы закупается популярный антивирусный пакет, который будет установлен в каждой системе. Администраторы установят и сконфигурируют программное обеспечение, в котором будут программы, выполняющие непрерывное сканирование вирусов и обновляющие еженедельно с помощью предлагаемых поставщиком общедоступных услуг базу данных сигнатур вирусов. Формулировка правил может выглядеть следующим образом.

Антивирусное программное обеспечение должно устанавливаться и конфигурироваться во всех сетевых системах организации таким образом, чтобы гарантировать постоянное сканирование на предмет поиска вирусов, а также периодически обновляться по указанию администраторов.

Проверка целостности системы

Проверка целостности системы может проходить во многих формах. Наиболее распространенные антивирусные пакеты могут хранить перечень файлов базовой системы и сканировать эти файлы каждый раз при загрузке системы для выявления возможных проблем. В других системах существуют средства, которые следят за общей конфигурацией системы, а также проверяют целостность файлов, файловых систем и двоичных кодов в общих областях памяти. Наличие регулярно выполняемых проверок такого типа является еще одной превентивной мерой защиты в программе безопасности. Если организация проводит такие меры, то можно составить следующую формулировку правил.

Все системы, подключенные к сети организации, должны подвергаться периодической общей проверке, чтобы выявлять зараженные вирусами операционные системы и вспомогательное программное обеспечение. Период между проверками не должен превышать одного месяца (30 дней).

Распределенные и съемные носители

Другой сложной областью при разработке правил можно считать защиту не часто используемых устройств или съемных носителей. Свойства и тех, и других меняются, поскольку кто-нибудь может снять диск, ленту или любой носитель, на котором хранятся данные, и установить их на другую систему. Пользователь также может переносить вирусы с одной системы на другую.

Трудность разработки правил заключается в том, что различные системы выдвигают различные требования к съемным носителям. Например, система на основе UNIX имеет не такие требования к сканированию, как система на базе Windows. Однако, мы не можем быть уверены в том, что компакт-диск, записанный в системе UNIX не инфицирует систему Windows.

Один из способов решения этих проблем заключается в введении правил, которые требуют сканировать носители в специальной системе. Формулировка политики может быть следующей.

Пользователи, загружающие какие-либо данные или программы с внешнего носителя, должны перед загрузкой сканировать этот носитель на предмет наличия на нем вирусов.


Правила эксплуатации стороннего программного обеспечения

Интересный побочный эффект предыдущей формулировки правил заключается в том, что она подразумевает сканирование дисков с инсталляционными программами. Несмотря на то, что это происходит редко, бывают случаи, когда поставщики теряют бдительность и распространяют зараженные вирусом программы. Большинство администраторов безопасности согласны с тем, что сканирование дистрибутивных дисков является хорошей мерой предосторожности.

Многие поставщики дают гарантию, что носители, которые они распространяют, не содержат вирусы. Они не хотят иметь лишних проблем и нести ответственность за инфицирование систем клиентов из-за их программного обеспечения. Некоторые поставщики афишируют, что их мастер-копия просканирована перед дублированием с помощью специального программного обеспечения для сканирования вирусов.

Программное обеспечение поставщиков является не единственным поводом для беспокойства. Организации могут получать данные из множества различных источников, которые могут содержать вирусы или создавать другие проблемы. Существуют демонстрационные версии программ и бесплатно распространяемые программные средства, которые люди загружают регулярно и необязательно с надежных серверов. Независимо от источника получения программного обеспечения в организации должно быть правило, которое предписывает определенные меры предосторожности при загрузке сторонних данных.

По причине того, что эти данные могут загружаться с внешних источников, включая Internet, некоторые считают, что последняя формулировка правил должна касаться обработки сторонней информации после ее загрузки. Альтернативой являются правила, которые предписывают загружать стороннюю информацию перед ее использованием в испытательную тестовую систему для проверки. Организации, которые используют этот тип правил, могут подкрепить правило загрузки внешних данных такой формулировкой.

Сторонние данные и программы должны загружаться в систему, на которой можно проводить опробование и тестирование на наличие вирусов, ошибок или других проблем перед загрузкой этих данных на другие системы в сети организации.


Привлечение пользователей к защите от вирусов

Беспокоят не только атаки с помощью вирусов, но если кто-нибудь из организации хранит вирусы, тогда проблемы будут гораздо серьезней. Организации не хотят, чтобы их считали распространителями вирусов. Многие предпочитают вводить очень жесткую формулировку правил, касающуюся вирусов. Некоторые даже хотят, чтобы в формулировку были включены возможные наказания за нарушение этих правил. Ниже следует жесткая формулировка, которая была использована для одной из таких организации.

Пользователи не должны преднамеренно создавать, запускать на выполнение, передавать или демонстрировать никаких компьютерных кодов, разработанных для самовоспроизведения, нанесения ущерба или для создания других проблем с любой памятью компьютеров, запоминающими устройствами, операционной системой и любым программным обеспечением. Пользователи, нарушающие данные правила, могут быть наказаны в дисциплинарном порядке или уволены, а дело будет передаваться в соответствующие юридические органы.

Автор слышал, что слабое место этих правил заключается в том, что пользователи могут трактовать эти правила двояко. Однако, юристы, с которыми работал автор, считают, что такая формулировка дает организации достаточную свободу для наказания пользователей, использующих системы организации и сети для распространения вирусов.


и компьютеры, не только обходятся

Вирусы, "черви" и "троянские кони", которые инфицируют сети и компьютеры, не только обходятся организациям "в копеечку", но и снижают объем производства, который может в дальнейшем и не быть компенсирован. Правила защиты от вирусов могут устанавливать требование для всех пользователей защищать ценные данные организации.
1. Цель защиты. Иногда из соображений, выдвинутых юридической практикой, в правила безопасности достаточно включить формулировку, устанавливающую только требование защиты от вирусов, причем средства защиты должны использоваться исключительно по своему назначению. Другая формулировка должна включать указание пользователю использовать для антивирусной защиты только утвержденные средства и никакими действиями не препятствовать их применению. 2. Определение типа защиты от вирусов. В правилах защиты от вирусов должен быть отражен подход к антивирусной защите, но необязательно сам программный продукт. В правилах необходимо связать принцип сканирования с используемой для этого программой. Это делается для обеспечения полной открытости информации в случае судебных дел. Для определения программы защиты от вирусов необходимо составить формулировку правил, охватывающую следующие вопросы: подход к тестированию на вирусы; проверка целостности системы; проверка распределенных или автономных средств. 3. Правила эксплуатации стороннего программного обеспечения. Несмотря на то, что это происходит довольно редко, все же бывают случаи, когда поставщики теряют бдительность и распространяют зараженные вирусом свои программы. Можно разработать правила, предписывающие особый режим эксплуатации стороннего программного обеспечения. В правилах может быть предписано, чтобы стороннее программное обеспечение перед загрузкой их на другие системы устанавливалось на испытательную систему и проверялось. 4. Привлечение пользователей к защите от вирусов. Организация не хочет, чтобы ее пользователи имели какое-то отношение к вирусам. Это может плохо повлиять на выполнение задач организации. Данные правила должны жестко требовать, чтобы пользователь не имел никакого отношения к вирусам. Чтобы сделать формулировку правил более жесткой, в некоторых организациях добавляют в нее положение о дисциплинарных взысканиях, включающих увольнение и передачу дел правоохранительным органам.