69802

Информационные эпидемии как основная угроза безопасности информационно-телекоммуникационных сетей

Дипломная

Информатика, кибернетика и программирование

Развитие и становление современного общества связано с увеличением объема информации которая в нем циркулирует. Но в зависимости от необходимости информация складывается в потоки и в определенных условиях потоки информации трансформируются и искривляются.

Русский

2014-10-10

89.37 KB

27 чел.

 

Содержание

Введение 3

Глава 1. Теоретические аспекты развития информационных эпидемий в ИТКС ……………………………………………………………………8                                                                                 

1.1 Информационные эпидемии как основная угроза безопасности          информационно-телекоммуникационных сетей

  1.2. Вредоносное программное обеспечение как средство создания информационных эпидемий

  1.3. Основные методы выявления информационных эпидемий вирусного ПО  

  1.4. Защита ИТКС от информационных эпидемий

         1.5. Модели развития информационных эпидемий  

         1.6. Эпидемиологическая модель SIRS  


Введение

Мы живем в стремительно меняющемся мире, где «лицо» современной цивилизации – информационные потоки и технологии. Страны, научившиеся определять вектор развития информационных технологий и применять их (Корея, Китай, Индия, Израиль), – сегодня лидеры в экономическом и политическом пространствах. В 2000 г. Россия подписала Окинавскую хартию информационного общества, а 25 июля 2007 г. на Совете безопасности РФ была рассмотрена Стратегия развития информационного общества в России, устанавливающая ориентиры развития страны до 2015 г. как государства, выбравшего путь инновационного развития и технологического лидерства.

Развитие и становление современного общества связано с увеличением объема информации, которая в нем циркулирует. Старое выражение — «кто владеет информацией, тот владеет миром» — уже трансформировалось в аксиому. Но в зависимости от необходимости информация складывается в потоки, и в определенных условиях потоки информации трансформируются и искривляются.

Сейчас, пожалуй, сложно найти более выгодного вложения средств, чем в информационные технологии с целью получения, распространения и владения информацией. В итоге это подразумевает воздействие на аудиторию и манипулирование ею. Необходимость контролирования информационных потоков уже важнее контролирования товарных и финансовых. Информационные войны и действия могут нанести непоправимый урон. Отмечено, что в период активной фазы финансового кризиса наибольший урон понесли те бренды, которые недостаточно внимательно относились к отслеживанию информации в интернете. И им был нанесён сокрушительный удар через онлайн-СМИ и социальные медиа.  Россия так и не научилась управлять и воздействовать на информационные потоки. И в результате дважды подряд «всухую» проиграла информационные войны с Чечнёй и Грузией. Про бесчисленные поражения во внутренних войнах можно даже не упоминать.

По количеству пользователей интернета Россия в 2012 году вышла на первое место в Европе, которое ранее занимала Германия и на шестое место в мире. Первое место в мире занимает Китай, где веб-пользователей 564 млн. человек, далее идут США, Япония, Индия и Бразилия.

«При этом еще порядка 50 миллионов людей в России — не в Сети, поэтому потенциал для роста сохраняется. Основные возможности связаны со старшей возрастной группой — число таких пользователей выросло за последний год на 54%», — считают в TNS.

На конференции «РИФ+КИБ 2013» директор РАЭК Сергей Плуготаренко сообщил, что в России ежедневно интернетом пользуются около 50 млн. человек.

Анализ информационных рисков – это сложный процесс комплексной оценки защищенности информационной системы с последующий переходом как к количественным, так и качественным показателям рисков. При этом риск – это вероятный ущерб, который зависит от всей защищенности информационной системы.

 Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (который чаще всего измеряется в деньгах), либо — качественную (уровни риска; обычно: высокий, средний, низкий).

Анализ рисков – одна из составных частей управления информационными рисками, в процессе которого оценивается уязвимость информационной системы к угрозам безопасности, их критичность и вероятность ущерба для компании, вырабатываются необходимые контрмеры для уменьшения рисков до приемлемого уровня и обеспечивается контроль защиты информационной системы компании. Важность этого этапа управления обусловлена тем, что, во-первых, анализ уязвимости корпоративной сети необходим при создании комплексной системы информационной безопасности (ИБ), во-вторых, ИТ-подразделениям нужно обосновывать инвестиции, вкладываемые в информационную безопасность.

Такие понятия как «оценка рисков» и «управление рисками» появились сравнительно недавно и в настоящее время вызывают постоянный интерес специалистов в области обеспечения непрерывности бизнеса  и сетевой безопасности. Начиная с 1995 года в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания специально созданных комитетов и комиссий по вопросам управления информационными рисками. Подготовлено более десятка различных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками, среди которых наибольшую известность приобрели международные спецификации и стандарты ISO 177992002 (BS 7799), GAO и FISCAM, SCIP, NIST, SAS 78/94 и COBIT.

В 21 веке управление информационными рисками представляет собой одно из наиболее востребованных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 80030, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во-первых, определение основных целей и задач защиты информационных активов компании. Во-вторых, создание эффективной системы оценки и управления информационными рисками. В-третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В-четвертых, применение специального инструментария оценивания и управления рисками. Давайте рассмотрим некоторые качественные и количественные международные методики управления информационными рисками, обращая основное внимание на возможность их адаптации и применения в отечественных условиях.

Проведение анализа рисков представляет собой сложный и рутинный процесс. Многие консалтинговые компании используют в своей постоянной практике специально разработанные табличные файлы, часто также применяется специализированное программное обеспечение, призванное помочь автоматизировать сложные процессы управления рисками..В настоящее время в мире существует несколько десятков автоматизированных средств, позволяющих сделать труд специалиста по анализу рисков менее сложным и трудозатратным, по разным из обозначенных выше блоков или комбинации блоков.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации, поэтому темой моей выпускной квалифицированной работы является «Защита информации с использованием технических средств СКУД». Цель работы: Выяснить анализ проникновения и влияние информационных эпидемий на работу информационно-телекоммуникационных систем и найти методы защиты от них с помощью СКУД. Исходя из темы, можно сформулировать следующие задачи:

1) описание текущих бизнес-процессов ;

2) выполнить анализ угроз информационной безопасности;

3) выявить возможные каналы утечки информации;

4) разработать и внести на рассмотрение руководства предприятия рекомендаций по защите информации;

5) оценить эффективность разработанных рекомендаций для дальнейшего использования в работе конкретного предприятия.

Глава 1. Теоретические аспекты развития информационных эпидемий в ИТКС  

1.1. Информационные эпидемии как основная угроза безопасности информационно-телекоммуникационных сетей  

Первенство в области создания информационного оружия занимает США. В 1996 г. министерством обороны США была принята «Доктрина борьбы с системами контроля и управления». В армии США созданы специальные подразделения и структуры управления для ведения информационной войны. До настоящего времени основными противниками в информационной войне США считало Россию и Китай, в настоящее время этот список постепенно расширяется с учетом изменения геополитической обстановки.

Так при проведении военных действий сил НАТО в Югославии разведывательная система «Echelon», основу которой составляет орбитальная группировка космических аппаратов радиоэлектронной разведки, применялась для слежки за президентом и другими государственными деятелями Югославии путем отслеживания информационного трафика на территории Югославии и за ее пределами. Эта система неоднократно задействовалась и на территории самих США и Европы для слежки за некоторыми сенаторами, политическими деятелями, журналистами, террористами, наркодилерами.

В открытой печати появились сведения, что в США в 2005 г. нормативные положения закона о помощи телекоммуникационных компаний правоохранительным органам под общим названием Communications Assistance for Law Enforcement Act (CALEA) дополнились правом контроля фактически за всеми сетями связи. В соответствии с этой программой производители в интересах спецслужб должны встраивать в сетевые устройства средства прямого «тайного» доступа к каналам связи. Особое внимание ФБР планирует уделить перехвату VoIP-переговоров и чатов, многие из которых ведутся по неформальным протоколам и встраиваются, например, в онлайновые игры. Поэтому разработчики соответствующих решений вынуждены работать в тесном сотрудничестве с правоохранительными органами. Операторы сетей связи и поставщики услуг должны выделять один или несколько постоянных каналов (так называемые фискальные каналы) для перехвата распространяемой по коммуникационным линиям информации и передачи ее компетентным органам. Спецслужбы добились права определения координат беспроводной трубки в реальном масштабе времени после окончания ими разговора и «прослушки» разговоров через цифровые АТС. В связи с этим в оборудовании импортного производства могут присутствовать программные и программно-аппаратные закладки, активизация которых приведет к открытию определенным абонентам запрещенных сервисов, захвату управления над оборудованием или выводу его из строя.

Решение современных проблем безопасности в информационной сфере неразрывно связано не только с обобщением и использованием накопленного опыта, но и с внедрением инновационных технологий, современных достижений науки и техники. Так не следует также сбрасывать со счетов и последние технологические новшества в области создания электронной компонентной базы (ЭКБ). Перечисленные группы изделий являются ключевыми и в значительной степени определяют не только технические и потребительские характеристики радиоэлектронной аппаратуры и систем, но и степень технологической и информационной безопасности. Например, известно, что уникальный идентификационный номер процессоров Intel, заявленный как средство защиты от незаконного копирования, между тем мог использоваться для контроля над информацией, циркулирующей в конкретном компьютере.

В начале 80-х СССР занимал на рынке ЭКБ третье место в мире после США и Японии. Основная причина заключалась в том, что не допускалось применение для военных и космических систем импортной элементной базы, при этом при создании таких систем создавалось до 70-75 % электронной промышленности. В настоящее время российская электронная промышленность значительно отстает от мирового уровня, а выпускаемая в настоящее время продукция неконкурентоспособна и не удовлетворяет современным требованиям. Доля импорта на внутреннем рынке ЭКБ выросла до 90%, а в ряде сегментов – до 100%. Поэтому с целью коренного перелома сложившейся ситуации. Программой развития электронной компонентной базы до 2025 г. предусматривается сокращение до минимума технологического разрыва между Россией и развитыми странами с последующим упрочением позиции России, как за счет создания собственной технологической базы, так и за счет международной кооперации в области разработки и производства перспективных изделий микроэлектроники. При этом военные технологии – основная причина открытия подобного производства в России. ВПК требует отечественной элементной базы на уровне современных зарубежных аналогов – военная промышленность должна работать на собственных микросхемах.

В соответствии с «Доктриной информационной безопасности Российской федерации» закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам, является одной из угроз развитию отечественной индустрии информации, телекоммуникации и связи. Однако сегодня выполнение требований этого положения, а, следовательно, и решение в полном объеме вопросов ИБ в ИТКС различного назначения сопряжено с рядом проблем, а в некоторых случаях не представляется возможным.

Во-первых, в силу технологической отсталости России многие ИТКС строится на основе импортных технических и программных средств (например, производства Siemens, Cisco, Alcatel, Nortel). С одной стороны, это позволяет повысить качество обслуживания пользователей и предоставить им широкий перечень современных инфокоммуникационных услуг. Но с другой стороны, наличие в нем не декларированных и не выявленных возможностей может привести к серьезным последствиям.

Помимо проблем обеспечения ИБ в ИТКС при использовании импортных средств информатизации и связи, возникает так же ряд проблем, связанных с их эксплуатацией:

– отсутствие заинтересованности фирм-производителей в сертификации оборудования на соответствие требованиям защиты от разрушающих информационных воздействий (компьютерных атак) в соответствии с нормативными документами ЦБС ФСБ России. В большинстве случаев иностранные производители не предоставляют на экспертизу исходных текстов программного обеспечения;

– частая смена модельного ряда, приводит к прекращению технической поддержки снятого с производства оборудования и невозможности закупки запасных частей и комплектующих;

– обучение обслуживающего персонала и специалистов, сопряжено с рядом проблем, связанных с отсутствием полной технической документации на русском языке при существующей специфике реализованных программно-технических решений; высокой стоимостью и ограниченностью (лишь основные функции и манипуляции) курсов обучения в фирменных учебных центрах.

Кроме того, необходимо указать на тот факт, что в сетях операторов связи ЕСЭ России, у которых арендуются цифровые каналы и потоки для построения выделенных ИТКС, функционирующих для нужд органов государственной власти, обороны страны, безопасности и правопорядка, используется оборудование связи иностранного производства. Так, например, в транспортных сетях ЕСЭ России для построения сети синхронизации применяется аппаратура иностранных фирм-производителей, таких как OSCILLOUQARTZ (Швейцария), SYMMETRICOMS (США), GILLAM-FEI (Бельгия). При этом для поддержания сетевой синхронизации допускается применение приемников сигналов глобальной системы позиционирования (GPS). Здесь необходимо отметить, что для цифровых сетей связи вопросы обеспечения синхронизации являются ключевыми, так как в случае пропадания синхронизации предоставление услуг связи невозможно (нет синхронизма – нет связи). По этой причине требует изучения вопрос построения для ИТКС собственной сети синхронизации на базе отечественного оборудования.

Во-вторых, отечественное ИТ-сообщество не готово немедленно перейти к использованию критериев и методик оценки механизмов безопасности инфокоммуникационных технологий, устанавливаемых международными (ISO/IEC) и национальными стандартами, а также руководящими документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Многие отечественные производители не имеют необходимой научной и производственной базы и занимаются лишь сборкой изделий из иностранных комплектующих (включая отдельные блоки и программное обеспечение). Известно, что в таком оборудовании не предусмотрены механизмы защиты от разрушающих информационных воздействий по информационным каналам и каналам управления, ввиду наличия в аппаратуре импортной элементной базы (до 98%) и программного обеспечения, не прошедшего соответствующую сертификацию и специальные исследования.

В-третьих, имеются определенные трудности в создании и производстве отечественных средств защиты (межсетевых экранов, антивирусных программ и других средств защиты информации). Например, если межсетевые экраны для компьютерных сетей уже научились производить, то аналогичные устройства для УПАТС, которые значительнее сложней, – нет. Данные устройства производятся зарубежными фирмами и, как правило, в Россию практически не поставляются (за исключением израильской фирмы Ectel). Производство аналогичных сертифицированных устройств в России фактически отсутствует. То же самое можно сказать и про антивирусное программное обеспечение, которое является неотъемлемой частью надежной системы информационной безопасности ИТКС.

В-четвертых, сложившаяся ситуация усугубляется тем, что в России по мнению ряда специалистов нет национального центра, который смог бы досконально проверить характеристики того или иного оборудования и удостоверить безопасность различных программных продуктов, которые рекламируется и предлагаются иностранными фирмами на отечественном рынке телекоммуникаций. До настоящего времени не разработан процесс сертификации компьютерных систем, подтверждающий обеспечиваемую безопасность. Процесс сертификации длителен, а это приводит к тому, что сертифицированные продукты обычно отстают от передовых разработок на несколько лет. По этой причине чрезвычайно трудно, почти невозможно гарантировать, что в ИТКС будет обеспечен требуемый уровень ИБ. В связи с этим требуют постоянного совершенствования нормативно-методическое обеспечение и техническая база проведения специальных работ с целью проверки защищенности как отдельных устройств и программ, так и систем связи и автоматизации в целом. Назрела необходимость разработки и внедрения специализированных программных средств для выполнения как активного, так и пассивного тестирования систем защиты.

Таким образом, современная государственная политика России, в том числе, военная, формируется в сложных условиях геополитической конкуренции, глобализации и борьбы в информационной сфере. Информация выступает одним из главных факторов, влияющих на развитие совре­менного общества. Информация, поддерживающие ее процессы, ИТКС являются основой деятельности всех властных структур и государственнозначимых организаций. В условиях растущих угроз информационной войны и информационного терроризма, постоянного совершенствования средств для их реализации, а также агрессивной политики иностранных фирм-производителей в части навязывания своих технологий, средств информатизации и связи на отечественном рынке, следует самым тщательным образом подходить к вопросу обеспечения ИБ в ИТКС. Наличие недекларированных возможностей в ЭКБ и программном обеспечении оборудования делает ИТКС уязвимыми для внешних и внутренних воздействий. Поэтому, внедряя и эксплуатируя импортные средства информатизации и связи в ИТКС, не следует исключать возможность НСД к конфигурационным базам данных и системным ресурсам, получения информации о трафике, с целью его дальнейшего анализа, а также возможности нарушения работы систем связи, информационного обеспечения и управления вплоть до полного их отключения.

История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.

Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем — многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.

История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Интересен тот факт, что самые первые вирусные программы создавались для борьбы с пиратами. Например, владельцы собственного программного бизнеса, продавали вместе с программами вредоносную начинку, которая начинала действовать при установке нелегальной копии программы на компьютер. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.

Рассмотрим более подробно развитие вирусов. Первые компьютерные вирусы появились еще в 70-х годах, но они не имели целью разрушить систему или стереть все файлы с жесткого диска. Только в 2003 году убытки компаний, которые теряли информацию через современные вирусы, составили 55000000000 долларов. На сегодняшний день известно около 50 000 вирусов . Мы подготовили для тебя список самых известных компьютерных вирусов за всю историю человечества.

«Creeper»- одним из первых вирусов, которые начали появляться в начале 1970 — х годов. Его создателем принято считать Боба Гомаса , сотрудника компании «Bolt Beranek and Newman». Вирус умел перемещаться между серверами и оставлять на мониторе сообщение « I’M CREEPER … CATCH ME IF YOU CAN » («Я Криппер … Поймай меня, если сможешь». Никаких шпионских и деструктивных действий этот вирус не выполнял, соответственно, был достаточно безопасным.

«Elk Cloner» создал 15-летний парнем по имени Ричард Скрента с Питтсбурге в 1982 . Он заражал операционную систему DOS для Apple II, которая была записана на гибких дисках, и таким образом распространялся. После каждого пятидесятого загрузки на экране появлялся текст, который переводится так: «Elk Cloner — это уникальная программа. Она проникнет на все ваши диски и профильтрует все ваши чипы. О да, это Cloner. Он прилипнет к вам, как клей. Программа может изменить даже RAM. Впустите в себя Cloner ». «Elk Cloner» не мог нанести очень большой вред компьютеру, но мог испортить код загрузки на дисках с другими системами.

«Brain» разработали два брата, которые основали собственную фирму по разработке программного обеспечения. Вирус был предназначен для того, чтобы наказать тех, кто использует нелицензионное программное обеспечение на территории Пакистана, но случайно, выпустив этот вирус на волю, они заразили более 18 000 ПК только в США. Для создания «Brain» впервые была использована стелс — технология. Когда кто-то пытался прочитать зараженный сектор, вирус автоматически подставлял «здоровый» оригинал.

«П ‘ Пятница 13» или «Error-404» - именно такое символическое название носил вирус, который активировался именно в этот день и удалял все данные с жесткого диска. Никаких антивирусных программ тогда еще не существовало, что вызвало настоящую панику у населения.

«Июнь ‘ как Моррисона» в 1988 году напугал весь мир. Он смог вывести из строя всю глобальную сеть. Эпидемия поразила 6 000 узлов ARPANET . Такой сбой в системе привел к убыткам в размере 96000000000 долларов США. Создателем этого вируса был Роберт Моррисон , которого осудили на 3 года условно и выплате штрафа в размере 10 тысяч долларов США.

«Win9x.CIH» , другое название которого - « Чернобыль », создал тайваньский студент Чэнь Ынха 1998 года. Этот вирус стал самым разрушительным за все предыдущие годы. Вирус попадал в систему и ждал до 26 апреля. Далее он стирал всю информацию на жестком диске. В некоторых случаях вирус вызывал замену микросхемы или материнской платы. Этот вирус поразил около 500 000 компьютеров по всему миру.

«Melissa» - первый почтовый червь, который был разработан в 1999 году. Он поражал файлы WS Word, искал контакты MS Outlook и отправлял копию себя первым 50 контактов из списка. Именно через этот вирус компаниям Microsoft и Intel пришлось на время заблокировать серверы корпоративной почты. Ущерб от него составляли 100 000 000 долларов.

«I LOVE YOU»- этот вирус был разработан в 2000 году и имел аналогичный с «Melissa» принцип действия. На почту приходило письмо, который назывался «I Love You». В письмо был вложен файл, который был заражен червем. Вирус воровал все пароли с компьютера и убытки от него составили примерно 5500000000долларов.

«Sasser» изобрел немецкий школьник Свен Яшан в 2004 РОЦ и. Фактически, никакого вреда этот вирус не причинял, просто перенагружал компьютер. Такие перезагрузки были причиной блокировки спутниковой системы во Франции и отмены авиарейсов в Британии. Вирус поразил около 250 000 компьютеров  во всем мире. Компания Microsoft предложила награду в размере 250 тысяч долларов за информацию о том, кто создал этот вирус.

«Conficker» является одним из наиболее опасных вирусов настоящего. Впервые его увидел свет еще в 2008 году . Сфера деятельности этого вредителя — Microsoft Windows. Вирус блокировал доступ ко всем сайтам антивирусов и обновлений Windows. В 2009 году вирус поразил 12000000 компьютеров в мире. Компания Microsoft обещала 250 000 тому, кто сообщит о создателе этого вируса.

Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем — многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.

Первые компьютерные вирусы создавались своими авторами исключительно с целью самоутверждения, с их помощью авторы пытались подтвердить собственные способности к созиданию компьютерных программ данного класса, поднимая собственную самооценку в случае успеха. Зачастую никакого другого функционала, кроме самокопирования, а иногда и вывода каких-либо сообщений шуточного характера, такие программы в себе не несли. Да, это мешало работать на зараженной системе, но речи об уничтожения пользовательской информации в результате заражения таким компьютерным вирусом совсем не шло. Позже злой гений вирусописателей дошел и до деструктивных действий по удалению на зараженной системе тех или иных файлов пользователя, а порой и ряда системных файлов, что приводило операционную систему в негодность. Пожалуй, венцом творения вирусописателей стал в своё время небезызвестный компьютерный вирус WIN.CIH, который в определенный момент времени вызывал повреждение материнской платы компьютера, записывая в BIOS некорректную информацию. Со временем число создаваемых компьютерных вирусов начало снижаться, отдавая пальму первенства троянским программам. Этому немало способствовал уход из индустрии большого количества начинающих вирусописателей (которые в большинстве своем – подростки) во всевозможные online игры. Кибер-криминал сегодня стал уделом профессионалов, имеющих целью своей деятельности получение прибыли.

В качестве основных путей размножения первых компьютерных вирусов были дискеты для переноса информации, намного позже их сменили CD диски, после чего компьютерные вирусы начали активно размножаться уже через сеть Интернет. На сегодняшний день встретить компьютерный вирус на просторах сети Интернет куда сложнее, чем наткнуться на ту же троянскую программу (троян). Пожалуй, основным способом размножения компьютерных вирусов на сегодняшний день являются популярные сменные носители – USB Flash диски (флешки) и DVD диски. И если на флешки компьютерный вирус может вполне записаться сам без участия пользователя, то на DVD диск попасть вирусу зачастую можно лишь в виде зараженных файлов, которые пользователь компьютера сам на диск и запишет вместе с остальной информацией.

Очень любят приукрашивать силу компьютерных вирусов голливудские режиссеры в своих фильмах про хакеров и просто компьютерных гениев. В некоторых фильмах удачно запущенный компьютерный вирус, сокрушает сеть Пентагона или крадет из банка сто миллионов долларов, попутно выводя на экран кучу графической информации о ходе своей работы. Что ж, оставим всё это на совести режиссеров, но заметим, что в реальности инциденты с компьютерными вирусами тоже случаются, но куда менее масштабные. В случае целеноправленной атаки на учреждение-жертву иногда у хакеров получается парализовать работу какой-либо системы атакуемой организации при помощи компьютерного вируса, но далеко не с той легкостью, с которой это зачастую показано в голливудских фильмах. Возможному триумфу предшествует долгая подготовительная работа, в ходе которой злоумышленник анализирует сильные и слабые стороны системы безопасности организации, выясняет наиболее удобные и возможные пути проникновения в компьютерную инфраструктуру организации и только потом уже использует специально созданный компьютерный вирус (троян) для своих целей. Сегодняшние компьютерные вирусы по своей сути имеют весьма много общего с троянскими программами (о троянах речь пойдет ниже). Большинство из компьютерных вирусов, которые можно встретить в дикой среде (in the wild), сегодня имеют четко ориентированную экономическую составляющую для своего создателя. Если раньше компьютерные вирусы в основном представляли для создателей чисто «спортивный интерес», то сегодня компьютерные вирусы дают лишний способ заработать своему автору, а порой являются и основным способом заработка… Мировой экономический кризис оставил без работы немало талантливых IT специалистов, которые начали искать себя «на другом поприще», обострив и без того непростую обстановку на антивирусном фронте. Вы спросите – а как же можно заработать с помощью компьютерного вируса? Что же, для этого сегодня вовсе не обязательно грабить банк – достаточно брать по чуть-чуть с каждого зараженного компьютерным вирусом ПК. Где-то добычей вирусописателя может стать аккаунт от яндекс.денег, где-то - учетные данные от используемой программы клиент-банк, а где-то и пароль от ICQ, за возвращение владельцу которго можно потребовать денег… Из наиболее распространенных компьютерных вирусов последнего времени стоит отметить Sality и Virut (по классификации Лаборатории Касперского). Оба этих компьютерных вируса несут в себе четко выраженную экономическую составляющую, вовлекаю зараженный компьютер в целую зомби-сеть, которая через Интернет может скрытно подчиняться своему хозяину (вирусописателю), рассылать спам или даже совершать DOS атаки на сервисы в сети Интернет. Фактически, глядя на компьютерный вирус Virut или Sality, мы сталкиваемся с трояном, дополненным способом размножения компьютерного вируса для пущей эффективности.

Система защиты информации, обрабатываемой с использованием технических средств, должна строиться по определенным принципам. Это обусловлено необходимостью противодействия целому ряду угроз безопасности информации.

Основным принципом противодействия угрозам безопасности информации, является превентивность принимаемых мер защиты, так как устранение последствий проявления угроз требует значительных финансовых, временных и материальных затрат.

Дифференциация мер защиты информации в зависимости от ее важности и частоты и вероятности возникновения угроз безопасности является следующим основным принципом противодействия угрозам.

К принципам противодействия угрозам также относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации.

Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу автоматизированных систем за счет налагаемых ограничений организационного и технического характера. Поэтому одним из принципов противодействия угрозам является принцип максимальной дружественности системы обеспечения информационной безопасности. При этом следует учесть совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы и сложившимися традициями учреждения.

Важность реализации этого принципа основана на том, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Программно-технические методы включают:

- защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов;

- аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);

- разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам, а также при хранении и предоставлении информации с ограниченным доступом;

- возможность доказательства неправомерности действий пользователей и обслуживающего персонала;

- защиту информации от случайных разрушений;

- защиту от внедрения «вирусов» в программные продукты;

- защиту баз данных различного уровня;

- выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;

- применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи;

- подтверждение авторства сообщений с использованием электронной цифровой подписи информации.

1.2. Вредоносное программное обеспечение как средство создания информационных эпидемий

Вредоносное программное обеспечение замедлило свои темпы роста в сфере создания новых вариантов софта. Однако появляются неизвестные ранее виды червей и троянов.

В 2007-2008 годах вредоносное программное обеспечение практически перестало создаваться в некоммерческих целях. Основным видом вредоносных программ стали трояны, занимающиеся кражей информации.

Как указывают аналитики "Лаборатории Касперского", в 2011 году заметно уменьшился темп роста новых вредоносных программ. Среди причин эксперты выделяют возросший уровень конкуренции на этом рынке, общее снижение активности троянских программ, а также действия игроков антивирусной индустрии по созданию новых технологий защиты. К 2009 году стандартное антивирусное решение образца 90-х годов прошлого века (сканер и монитор) стало неактуальным и было практически полностью вытеснено "комбайнами" - продуктами класса Internet Security, соединяющими в себе множество технологий многоуровневой защиты.

Помимо разработчиков антивирусных средств, в 2011 году значительный вклад в борьбу с вирусописателями внесли правоохранительные органы, надзорные структуры и телекоммуникационные компании, в результате чего были закрыты такие ресурсы, как RealHost и 3FN, активно потворствующие киберпреступникам.

За последние 3-4 года Китай стал ведущим поставщиком вредоносных программ. В 2009 году "Лабораторией Касперского" было зафиксировано 73.619.767 сетевых атак, более половины из которых - 52,70% - были проведены с интернет-ресурсов, размещенных в Поднебесной. Однако за последний год процент атак, проведенных с китайских веб-ресурсов, уменьшился с 79 до 53%. Китайская киберпреступность оказалась способной производить такое количество вредоносных программ, что последние два года все без исключения антивирусные компании тратили большую часть своей деятельности на противостояние этому потоку.

Первая пятерка стран, с веб-ресурсов которых производились атаки, не изменилась по сравнению с 2008 годом: на втором месте - США, при этом доля зараженных серверов на территории этой страны значительно выросла - с 6,8 до 19%. Россия, Германия и Голландия занимают 3-е, 4-е и 5-е места соответственно, и их доли выросли незначительно.

В 2011 году изменил свое направление вектор атак: Китай по-прежнему лидирует по числу потенциальных жертв, но его доля уменьшилась на 7%. Другие лидеры прошлого года - Египет, Турция и Вьетнам - стали заметно менее интересны кибер-преступникам. Одновременно с этим значительно выросло число атак на граждан США, Германии, Великобритании и России.

За прошедший год технологии вирусописателей серьезно усложнились. Программы, оснащенные руткит-функционалом, не только получили широкое распространение, но и значительно эволюционировали. Среди них особенно выделяются такие угрозы, как Sinowal (буткит), TDSS и Clampi.

Главной эпидемией 2009 года стал червь Kido (Conficker), поразивший миллионы компьютеров по всему миру. Он использовал несколько способов проникновения на компьютер жертвы: подбор паролей к сетевым ресурсам, распространение через флэш-накопители, использование уязвимости Windows MS08-067. Каждый зараженный компьютер становился частью зомби-сети. Борьба с вирусом осложнялась тем, что в Kido были реализованы самые современные и эффективные технологии вирусописателей. Он противодействует обновлению программ защиты и отключает службы безопасности, блокирует доступ к сайтам антивирусных компаний и т. д. В ноябре количество зараженных Kido систем превысило 7.000.000. Эпидемия продолжалась на протяжении всего 2009 года.

Необходимо отметить, что для борьбы со столь распространенной угрозой была создана специальная группа Conficker Working Group, объединившая антивирусные компании, интернет-провайдеров, независимые исследовательские организации, учебные заведения и регулирующие органы. 

Нельзя обойти вниманием и эпидемию вируса Virut. Особенностью Virus.Win32.Virut.ce является его мишень - веб-серверы - и способ распространения - в пиринговые сети вместе с зараженными генераторами серийных ключей и дистрибутивами популярных программ.

В 2009 году все более разнообразными становятся и мошеннические схемы, используемые в Интернете. К традиционному и весьма распространенному фишингу добавились различные сайты, предлагающие платный доступ к "услугам". Пальма первенства здесь принадлежит России. Именно российские мошенники поставили на поток создание сайтов с предложением "узнать местоположение человека через GSM", "прочитать приватную переписку в социальных сетях", "собрать информацию" и т. д.

Максимальное число подобных сервисов достигало нескольких сотен. Обеспечением их работы занимались десятки "партнерских программ". Для привлечения доверчивых пользователей использовались как традиционный спам в электронной почте, так и спам в социальных сетях и сервисах мгновенного обмена сообщениями. Вероятность того, что пользователь социальной сети запустит предлагаемый ему "друзьями" файл или пройдет по присланной от имени "друга" ссылке, примерно в 10 раз выше, чем если бы этот файл или ссылка пришли к нему по электронной почте.

В 2009 году у мошенников продолжала расти популярность псевдоантивирусов. Задача псевдоантивирусов - убедить пользователя в наличии на его компьютере угрозы (на самом деле несуществующей) и заставить его уплатить деньги за активацию "антивирусного продукта". Сегодня для распространения фальшивых антивирусов используются не только другие вредоносные программы (как, например, Kido), но и реклама в Интернете.

По оценкам, представленным в ноябре 2011 года американским ФБР, на лжеантивирусах преступники в общей сложности заработали 150 млн. USD. В 2009 году система IDS (Intrussion Detection System), входящая в состав Kaspersky Internet Security, отразила 219.899.678 сетевых атак. Аналогичный показатель 2008 года составил чуть более 30 млн. инцидентов. Из общего числа обнаруженных и заблокированных попыток заражения компьютеров 32 млн. атак пришлись на долю червя Kido (Conficker). В Сети продолжает существовать и червь Helkern (Slammer). Несмотря на то, что ему исполняется уже 7 лет, он продолжает находиться в лидерах - на него пришлось 23 млн. заблокированных попыток заражения.

Мобильные ОС и Mac OS привлекают все больше внимания со стороны вирусописателей. В 2009 году на вирусные угрозы для Mac внимание обратила даже компания Apple, встроившая некое подобие антивирусного сканера в новую версию ОС. Кроме того, в 2009 году произошли давно прогнозируемые события: для iPhone были обнаружены первые вредоносные программы (черви Ike), для Android была создана первая шпионская программа, а для Symbian-смартфонов были зафиксированы первые инциденты с подписанными вредоносными программами.

Уникальным событием 2009 года стало обнаружение троянской программы Backdoor.Win32.Skimer - первой вредоносной программы, нацеленной на банкоматы. После успешного заражения злоумышленник, используя специальную карточку доступа, может снять все деньги, находящиеся в банкомате, или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат.

1.3. Основные методы выявления информационных эпидемий вирусного ПО  

Информационные риски – это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. IT-риски можно разделить на две категории:

  1.  риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
  2.  риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

  1.  идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
  2.  оценивание возможных угроз;
  3.  оценивание существующих уязвимостей;
  4.  оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

  1.  показателей ценности информационных ресурсов;
  2.  вероятности реализации угроз для ресурсов;
  3.  эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.

Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.

Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

  1.  привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
  2.  возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
  3.  техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
  4.  степенью легкости, с которой уязвимость может быть использована.

В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании – системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.

Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3–4 степени зрелости, описанных в первой главе.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:

  1.  методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
  2.  количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
  3.  методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

1.4. Защита ИТКС от информационных эпидемий  

Методы защиты от вредоносных программ в основном делятся на две большие группы:

- организационные методы;

- технические методы.

Самым простым примером организационных методов защиты от вирусов является выработка и соблюдение определенных правил обработки информации. Причем правила тоже можно условно разделить на две категории:

- правила обработки информации;

- правила использования программ.

К первой группе правил могут относиться, например, такие:

- не открывать почтовые сообщения от незнакомых отправителей;

- проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием;

- проверять на наличие вирусов файлы, загружаемые из Интернет;

- работая в Интернет, не соглашаться на непрошенные предложения загрузить файл или установить программу.

Общим местом всех таких правил являются два принципа:

- использовать только те программы и файлы, которым доверяешь, происхождение которых известно;

- все данные, поступающие из внешних источников - с внешних носителей или по сети - тщательно проверять.

Вторая группа правил, обычно включает такие характерные пункты:

- следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы;

-  регулярно обновлять антивирусные базы;

- регулярно устанавливать исправления операционной системы и часто используемых программ;

- не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений.

Здесь также можно проследить два общих принципа:

- использовать наиболее актуальные версии защитных программ - поскольку способы проникновения и активации вредоносных программ постоянно совершенствуются, разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак;

- не мешать антивирусным и другим защитным программам выполнять свои функции - очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность. В результате значительно увеличиваются шансы на заражение компьютера вирусом

Технические методы защиты заключаются в том, чтобы не дать вирусам попасть в операционную систему и заразить программное обеспечение. Для этого нужно всегда устанавливать обновления для ПО и ОС. Производители исправляют уязвимости в своих программах и заблаговременно выпускают для них исправления.

В последнее время вредоносные программы, использующие уязвимости в Windows и прикладных программах, появляются все быстрее и быстрее после выхода исправлений к этим уязвимостям. В некоторых случаях вредоносные программы появляются даже раньше исправлений. Помня об этом, необходимо своевременно устанавливать исправления и лучше всего для этого использовать средства автоматической установки.

Хотя большинство вредоносных программ используют уязвимости в продуктах Microsoft, существует немало и таких, которые эксплуатируют дыры в программах других производителей. Особенно это касается широко распространенных программ обмена сообщениями, браузеров и почтовых клиентов. Поэтому мало просто установить браузер[90], отличный от Internet Explorer, его тоже нужно обновлять по мере выхода исправления. Чаще всего, в подобных программах есть встроенные средства обновления, но для подстраховки нелишним будет следить за новостями на веб-сайтах, посвященных вопросам безопасности. Информация обо всех критических уязвимостях и исправлениях к ним обязательно попадает в новостную ленту.

Для того чтобы удаленно воспользоваться уязвимостью в программном обеспечении или операционной системе, нужно установить соединение и передать специально сформированный пакет данных. Следовательно можно защититься от таких попыток проникновения и заражения, путем запрета определенных соединений. Задачу контроля соединений успешно решают программы-брандмауэры.

Брандмауэр - это программа, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.

Для борьбы с вирусами брандмауэры могут применяться в двояком качестве. Во-первых, брандмауэр можно успешно использовать для защиты от вредоносных программ, которые распространяются непосредственно по сети, используя уязвимости в операционной системе[86]. Например, червь Sasser атакует службу Windows LSASS через TCP порт 445. Значит для защиты от червя достаточно создать в брандмауэре правило, запрещающее входящие соединения на этот порт. Если речь идет о домашнем компьютере, который использует сеть только для выхода в Интернет, такой способ защиты не будет иметь побочных эффектов. В организации с локальной сетью, где порт 445 используется для работы Windows-сети, могут возникнуть неудобства.

Брандмауэр можно использовать и для защиты от атак неизвестных вирусов. В случае домашнего компьютера, использующего сеть только для доступа в Интернет, можно запретить вообще все входящие соединения, и тем самым обезопасить себя от любых атак извне.

Второй аспект применения брандмауэров для защиты от вредоносных программ состоит в контроле исходящих соединений. Многие троянские программы, да и черви, после выполнения вредоносной функции стремиться подать сигнал автору вируса. Например, троянская программа, ворующая пароли, будет пытаться переслать все найденные пароли на определенный сайт или почтовый адрес. Для того чтобы воспрепятствовать этому, можно настроить брандмауэр на блокирование всех неизвестных соединений: разрешить только соединения от доверенных программ, таких как используемый браузер, почтовый клиент, программа мгновенного обмена сообщений, а все остальные соединения запретить. В таком случае, вредоносная программа, даже попав на компьютер незамеченной, не сможет причинить реального ущерба.

1.5. Модели развития информационных эпидемий  

В эпидемиологии используются два основных типа моделей: стохастические и детерминистические. Стохастический подход применяется для исследования эпидемий в малых или изолированных популяциях, когда особенно важную роль в распространении заболевания играют случайные колебания вероятностей заражения индивида. Детерминистические модели описывают эпидемиологический процесс на уровне всей популяции и пригодны для больших популяций. Применение стохастических моделей для больших популяций дает такие же результаты как полученные детерминистическим подходом. Для упрощения анализа распространения инфекционного заболевания, особенности заражения и излечения индивида не учитываются. Считается, что каждый индивид в популяции может находиться только в одном из нескольких состояний. В общем случае, детерминистическая MSEIR модель выделяет в популяции пять групп:

• М (passive immunity - обладающие пассивным иммунитетом)

• S (susceptible - уязвимые)

• Е (exposed - зараженные, латентная стадия)

• I (infective - зараженные, распространяющие заболевание)

• R (recovered/removed - индивиды, неподверженные заболеванию)

Индивиды М, обладающие пассивным иммунитетом к инфекции от рождения, постепенно переходят в группу подверженных заболеванию индивидов S. Уязвимые индивиды S заражаются индивидами I с некоторой частотой 3. Новые зараженные индивиды проводят некоторое время в группе развития заболевания Е, а затем приобретают способность распространять инфекцию. Зараженные индивиды излечиваются с некоторой частотой 5 и переходят в группу R, обладающую иммунитетом. Существует множество модификаций этой модели, включающих только определенные группы: модели SI, SIR, SEIR и другие. Также существует модификация MSEIRS и производные от нее, в которой неподверженные заболеванию индивиды могут со временем терять иммунитет и переходить в группу уязвимых. Решение о том, какие группы включать в модель зависит от особенностей распространения конкретного заболевания и от цели моделирования.

В исследовании динамики распространения вредоносных программ нашли широкое применение претерпевшие различные модификации эпидемиологические математические модели, представляющие собой дифференциальные уравнения и системы.

SIR-модель учитывает процесс вывода заражённых субъектов из компьютерной системы, она базируется на предположении, что во время эпидемии некоторое количество заражённых субъектов либо избавляется от вредоносной программы, либо перестаёт функционировать. Как только субъект избавляется от вредоносной программы, он приобретает к ней иммунитет.

Модель RCS (Random Constant Spread) – наиболее простая модель, не учитывающая лечение, предполагающая постоянное непрерывное распространение вируса. Имеет простое аналитическое решение.

Двухфакторная модель в отличие от RCS учитывает два фактора: участие человека в борьбе с эпидемией с помощью отключения отдельных узлов либо иммунизации и непостоянство скорости распространения вируса.

Модель PSIDR (Progressive Suspected-Infected-Detected) учитывает особенности работы антивирусов: антивирус может обнаруживать и удалять вирусы только после того, как в вирусной базе появится сигнатура этого 9 вируса. Добавлено дополнительное состояние D (Detected), в котором находятся узлы, на которых вирус уже обнаружен, но ещё не излечен.

Модель AAWP (Analytical Active Worm Propagation) отличается от других моделей тем, что основана на дискретном времени (что повышает точность моделирования быстрых червей), учитывает возможность устранения уязвимости, используемой вирусом, учитывает время, требуемое для заражения компьютера и возможность одновременной атаки с различных узлов (что повышает точность моделирования массовых эпидемий).

Симулятор Уивера является имитационной моделью, требующей в отличие от аналитических гораздо больше вычислительных ресурсов, но позволяет с высокой точностью оценивать и сравнивать скорости аспространения вирусов, использующих различные технологии сканирования (случайное сканирование, сканирование заранее составленного списка, сканирование локальных подсетей и перестановочное сканирование).

Во всех перечисленных моделях использовано предположение о том, что структура сети не влияет на динамику распространения эпидемии. При этом считается, что вероятности контактов всех узлов в каждый момент времени равны между собой. Было показано, что в действительности ни в реальных экосистемах, ни в компьютерных сетях данное предположение не выполняется.

Модель на основе случайного графа изучает распространение вируса в сети, представляемой случайным графом с заданными характеристиками.

Модель на двумерной решетке и иерархическом случайном графе позволяет исследовать распространение вирусов в сетях, имеющих структуру двумерной решетки и иерархического случайного графа, и позволяет оценить влияние структуры сети на скорость развития эпидемии.

Модель «тесного мира» (small-world model) описывает развитие эпидемии вирусов в сети, представляемой графом «тесного мира». Многие сети имеют 10 структуру, которую можно в определенном приближении представить в виде графа «тесного мира» с определенными параметрами.

Безмасштабные сети также могут быть использованы для моделирования распространения вирусов, т.к. было доказано, что многие сети (биологические и компьютерные) могут быть в определенном приближении представлены как безмасштабные.

1.6. Эпидемиологическая модель SIRS  

Модель SIRS состоит из 4 элементов:

- Восприимчивый (S)

- Зараженный (I)

- Восстановленный (R)

- Восприимчивый (S)

Восприимчивые процессы - процессы, которые восприимчивы к получению вредоносной информации,  они в состоянии подхватить вирус. Как только они заражаются, они переходят в  разряд зараженных процессов.

Зараженные процессы – процессы, которые могут распространять вредоносную информацию восприимчивым процессам. Время, которое они проводят в зараженном состоянии, является инфекционным периодом, после которого они переходят в разряд восстановленных.

Восстановленные процессы – процессы, которые полностью избавлены от вредоносной информации и неуязвимы для вредоносного воздействия, которым были прежде поражены.

Рассмотрим модель на заражении болезнью гриппа населения.

Восприимчивый класс ссылается на людей, которые еще не заразились гриппом. Индивидуумы, которые в настоящее время болеют, составляют зараженный класс. Люди, которые выздоровели, были перемещены в класс восстановленных. Обозначим число индивидуумов в восприимчивом, зараженном и восстановленном классах. Соответственно S, I и R.

Рис.  Структурная схема SIRS

 

Уровень, на котором восприимчивые изменяют свой класс равен уровню, в котором имеет место инфекция и где индивидуумы теряют свой иммунитет. Заражение происходит, когда болезнь передается от зараженного индивидуума к восприимчивому. Число восприимчиво-зараженных контактов пропорционально произведению S и I. Из этих контактов, некоторая доля заразится гриппом. Также уровень, в котором индивидуумы теряют иммунитет, пропорционален числу людей в восстановленному классе. Поэтому, приблизительно уровень изменения в восстановленном классе будет:

,                                      (1)

где  I – сила инфекции и – уровень на душу населения, в котором люди в восстановленном классе теряют иммунитет. Выражение (1) отрицательное, потому что в течении инфекции число восприимчивых людей уменьшается. Уровень, в котором появляется инфекция, называют падением. Члены восприимчивого класса, которые заразились, увеличивают количество в зараженном классе. Уровень, в котором люди переходят из восприимчивого класса, равен уровню зараженного класса, к которому они присоединились.

Предположим, что число людей, перемещенных из инфекционного класса в восстановленный, - это некоторая доля зараженного класса. Если мы обозначим γ долей людей, перемещенных из зараженного класса в восстановленный, уровень изменения зараженного класса будет:

                                       (2)

R возрастает в пропорциональной доле к числу препаратов для входа в класс. Это уменьшает пропорциональную долю с размером, когда индивидуум теряет иммунитет и переходит в восприимчивый класс. Поэтому уровень изменения в восстановленном классе будет:

                                                 (3)

 Собрав три выражения, мы получим:

                                         (4)

Число различных компьютерных вирусов является огромным и ежедневно быстро увеличивается. Экономический ущерб от их действий исчисляется десятками миллиардов долларов США и, в будущем, будет возрастать.

Нет ни одной информационной системы или компьютерной программы, которая потенциально не может быть инфицирована. Уязвимости программного обеспечения уже изначально заложены в ограниченности используемых для их создания средств разработки. Кроме того, развитие новых технологий приводят к тому, что в существующем ПО появляются новые уязвимости, вызванные использованием этих технологий.

Увеличение функциональных возможностей информационных систем и программного обеспечения приводят к возникновению новых проблем в защите.

Таким образом, на сегодняшний день существует потребность в решении задачи выбора наиболее эффективного метода защиты атакуемых ИТКС, так как есть тенденция к увеличению темпов распространения вредоносной информации компонентам ИТКС посредством эпидемического распространения информации по модели SIRS. Необходимо построить риск-модель и на её основании выработать рекомендации по  предупреждению атак.


 

А также другие работы, которые могут Вас заинтересовать

83190. Славянофильство и западничество: куда идти России? 33.5 KB
  К предыстории относится период с десятых до середины тридцатых годов девятнадцатого столетия. В начале тридцатых годов большинство будущих славянофилов исключая Хомякова были приверженцами философии Шеллинга и их позиция была скорее западнической чем славянофильской.
83191. ИНТЕРНЕТ-ЭКОНОМИКА РОССИИ 40.22 KB
  Как последствие эффективность финансовой работы в современной экономике впрямую находится в зависимости от интенсивности переустройства информации а апофеозом эволюции информационно-коммуникационных технологий стало возникновение Интернета в общем и Интернет-экономики eeconomy в частности.
83192. ВЕНСКАЯ КОНВЕНЦИЯ О ПРАВЕ МЕЖДУНАРОДНЫХ ДОГОВОРОВ 35.5 KB
  Конвенция применяется к договорам заключаемым между государствами в письменной форме. Лицо представляющее государство в целях принятия текста договора либо в целях выражения согласия на обязательность договора должно иметь соответствующие полномочия либо в силу занимаемой должности считаться представляющим свое государство без предъявления полномочий. К последним относятся: главы государств главы правительств министры иностранных дел; главы дипломатических представительств применительно к договорам с государствами в которых они...
83193. ОСНОВНЫЕ ПОДХОДЫ К СТОИМОСТНОЙ ОЦЕНКЕ ОБЪЕКТОВ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ 70.5 KB
  Отличительными свойствами интеллектуального товара, по сравнению с обычным товаром, являются: редкость, уникальность, конкурентоспособность и другие характеристики. Общим с рынком любого товара является то, что интеллектуальный товар – продукт труда, произведенный для продажи в целях обмена на другие продукты труда или деньги на рынке...
83194. Training for employment in Sweden (Перекваліфікація для працевлаштування у Швеції) 18.38 KB
  Training programs for the unemployed have been cornerstones of labor market policy for many decades. In Sweden, training programs have been used since 1918 and constitute an important part of the so-called Swedish model (or Nordic model) of labor market policy. Among Sweden’s current programs, the employment training program...
83195. Расчётное исследование влияния закона закрутки и тангенциального навала при оптимизации лопаточного аппарата осевого компрессора 707 KB
  В современном турбостроении окончательная доводка проточной части осевого компрессора ОК осуществляется путем трехмерной многокритериальной оптимизации лопаточного аппарата. Современные программные комплексы основанные на методах вычислительной газовой динамики CFD позволяют смоделировать подобное сложное течение что дает возможность уменьшить...
83196. ІНВЕСТИЦІЙНА АКТИВНІСТЬ В НАЦІОНАЛЬНІЙ ЕКОНОМІЦІ УКРАЇНИ: МЕТОДИЧНІ ПІДХОДИ ТА ІНСТРУМЕНТИ ОЦІНКИ 57.12 KB
  У сучасних умовах інвестиції виступають важливим елементом розвитку як національної економіки, так і економіки в цілому. Залучення інвестицій забезпечує науково-технологічний прогрес, стрімке економічне зростання, збільшення показників господарської діяльності країни, регіону, підприємства тощо.
83198. «Моделі протидії» фінансовому шахрайству на ринку фінансових послуг 18.88 KB
  Теорія ризик-менеджменту розглядає шахрайство як один з багатьох компонентів операційних ризиків. Кримінальна відповідальність за шахрайство з фінансовими ресурсами в науці кримінального права є проблемою новою а тому звичайно і недостатньо розробленою.