CC BY
24Научно-практическая конференция «Современные информационные технологии: проблемы безопасности»
(Омская академия МВД России, 29 апреля 2005 г.):
Основные выступления
В организованной кафедрой управления и информационных технологий в деятельности ОВД конференции приняли участие преподаватели и сотрудники академии, представители отдела связи, спецтехники и автоматизации УВД Омской области, специалисты Центра специальной связи и информации ФСО России, Омского отделения Информационно-вычислительного центра Западно-Сибирской железной дороги, преподаватели Омского государственного университета путей сообщения, сотрудники Управления Федеральной налоговой службы по Омской области, банковские специалисты по защите информации и другие специалисты в области информационных технологий. На рассмотрение были вынесены вопросы обеспечения информационной безопасности компьютерных систем и сетей, организационно-правовые проблемы эксплуатации программных и аппаратных средств вычислительной техники, особенности применения правовых норм по защите компьютерной информации и интеллектуальной собственности.
Публикуем тексты основных выступлений.
КОМПЬЮТЕРНАЯ СИСТЕМА КАК ОБЪЕКТ ЗАЩИТЫ А. В. Низовцев, сотрудник Центра специальной связи и информации ФСО России в Омской области
В настоящее время номенклатура технических средств разведки весьма обширна, что делает задачу надежного блокирования каналов утечки и несанкционированного доступа к информации исключительно сложной.
Основным направлением противодействия утечке информации из автоматизированной системы обработки информации является обеспечение физической (технические средства, линии связи, персонал) и логической (операционная система, прикладные программы и данные) защиты информационных ресурсов. При этом безопасность достигается комплексным применением аппаратных, программных и криптографических методов и средств защиты, а также организационных мероприятий. Опираясь на руководящие документы специальных служб, входящих в систему обеспечения информационной безопасности государства, можно сформулировать основные составляющие такого комплекса, а именно:
1. Исключение несанкционированного доступа (НСД) к обрабатываемой или хранящейся информации.
Многие операционные системы имеют средства разграничения доступа, но для надежной защиты их недостаточно, так как, во-первых, в большинстве систем присутствуют программные ошибки, в том числе и в реализациях защиты (одна из потенциальных угроз); во-вторых, доступность написанных хакерами программ позволяет обойти элементы защиты практически всех известных типов операционных систем и проникнуть к чужим данным самому неподготовленному пользователю. Поэтому в дополнение к встроенным средствам защиты следует использовать заведомо защищенные от взлома, сертифицированные средства ограничения доступа: средства ограничения физического доступа и средства ограничения доступа по сети. Последние делятся на две основные группы: без применения криптографии и с применением средств криптографической защиты информации. Средства первой группы выполняют роль промежуточного барьера между пользовате-
лем и операционной системой (при физическом доступе) и ПЭВМ и глобальной, корпоративной сетью (при доступе по сети), а средства второй группы с заданной криптостойкостью обеспечивают гарантированную защиту от НСД.
2. Исключение несанкционированного дистанционного доступа к использованию режимов технических средств обработки и передачи информации.
НСД можно осуществить и дистанционно, через Интернет или локальную сеть. Получая по сети доступ к компьютеру, злоумышленник может осуществлять те же действия, что и авторизованный пользователь или даже администратор, поэтому мониторинг подключений к автоматизированной системе имеет большое значение для распознавания этой угрозы.
3. Предотвращение утечки обрабатыгваемой информации за счет побочным электромагнитным излучений, создаваемым техническими средствами обработки и передачи информации, а также за счет электроакустических преобразований.
Злоумышленники могут воспользоваться физическими свойствами электронных приборов излучать паразитные информативные сигналы (потенциальная угроза), акустическими каналами через стекла окон, строительные, сантехнические, вентиляционные, теплотехнические и газораспределительные конструкции, с использованием для передачи сигналов радио-, радиотрансляционных, телефонных и компьютерных коммуникаций, антенных и телевизионных распределительных сетей, охранно-пожарной и тревожной сигнализации, сетей электропитания и электрочасов, громкоговорящей и диспетчерской связи, цепей заземления и т. п. Случайный пропуск хотя бы одного возможного канала утечки может свести к нулю все затраты и сделать систему защиты неэффективной.
4. Предотвращение специальным программно-технических воздействий, выгзыгвающих разрушение, уничтожение, искажение информации или сбой в работе средств информатизации.
Специальные воздействия на автоматизированную систему осуществляются с целью нарушить штатный режим ее работы и повлиять на целостность и/или доступность информации, например, нарушение энергоснабжения системы или блокирование нормальной работы огромным количеством ложных обращений. При обработке и хранении больших объемов информации (сервер баз данных и т. п.) необходимо принимать исчерпывающие меры по нейтрализации таких воздействий на систему.
5. Выявление закладным устройств, внедренным в объекты или технические средства.
При построении системы защиты нельзя исключать классические методы шпионажа - использование специальных технических устройств для скрытого съема информации (закладные устройства), которые могут встраиваться в технические средства обработки информации или устанавливаться в помещения, где находятся эти средства.
Все манипуляции с такими устройствами предусматривают наличие злоумышленника в ближайшем окружении или среди людей, получивших разовый или постоянный доступ в закрытые помещения. Избавиться от угроз, реализуемых с помощью внедренных в помещения закладных устройств, можно, точно следуя руководящим документам ФСТЭК (Гостехкомиссии) России.
6. Предотвращение перехвата информации техническими средствами при ее передаче по каналам связи.
С давних времен вопрос обеспечения безопасности информации при ее передаче по каналам связи был одним из самых важных. Сам способ передачи информации на расстоянии подразумевает ее выход за пределы контролируемой зоны. В этой связи отметим, что в соответствии с Указом Президен-
та Российской Федерации от 3 апреля 1995 г. № 334 для использования в сетях передачи данных (информационно-телекоммуникационных системах) органов государственной власти и управления, а также в системах организаций и предприятий различных форм собственности, на которых размещен государственный заказ, разрешены только сертифицированные средства криптографической защиты информации.
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОВРЕМЕННЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ
Б. И. Ефимов, сотрудник Центра специальной связи и информации ФСО России в Омской области
В настоящее время деловая и социальная активность населения и организаций напрямую зависит от услуг, предоставляемых сетями связи. Все сферы жизнедеятельности с каждым днем становятся более зависимыми от телекоммуникационных сетей, что определяет особое внимание к безопасности функционирования этих сетей.
Защита проводных коммуникаций, в том числе и защита телефонных переговоров, по сей день является одной из важнейших задач в комплексе мероприятий по обеспечению информационной безопасности объекта технической защиты информации.
Новыге угрозыг ИБ телекоммуникационныгх сетей. Это, прежде всего, угрозы, связанные с недокументированными возможностями внедряемых в эксплуатацию цифровых АТС, и угрозы, направленные на протоколы межстанционного взаимодействия. Конвергенция сетей и услуг связи, внедрение в уже функционирующие в составе телефонной сети коммутационные узлы и станции новых телекоммуникационных технологий (виртуальных частных сетей, доступ в Интернет) приводят к увеличению угроз информационной безопасности сетей связи.
Информационная безопасность сети связи общего пользования взаимоувязанной сети связи РФ. Взаимоувязанная сеть связи первоначально развивалась в соответствии с требованиями функциональности, а не обеспечения безопасности, поэтому возникла необходимость создания новых подходов и технологий по защите информации. Разработанные к настоящему времени средства защиты информации в основном рассчитаны на сети передачи данных, в то время как практически отсутствуют подобные решения, ориентированные на инфраструктуру телефонной сети общего пользования. Важность этой проблемы отражена в Концепции информационной безопасности Сетей связи общего пользования Взаимоувязанной сети связи Российской Федерации, принятой в 2003 г. Научно-техническим советом Министерства связи России.
Безопасность станционного оборудования. Появление на отечественном рынке и внедрение в эксплуатацию современных импортных цифровых АТС приводит к повышению уязвимости телефонных сетей связи и их информационных ресурсов. Незащищенная АТС, являющаяся во многих случаях базовым средством при создании телекоммуникационных сетей, несет в себе определенные угрозы:
- возможность вывода из строя АТС по команде извне с использованием программно-аппаратных закладок;
- возможность прослушивания внутренних переговоров, а также помещений, в которых установлены телефонные аппараты, в том числе и при положенной трубке;
- возможность копирования, изменения персональных и тарификационных данных абонентов.
Речь идет о специальных функциях, разработанных производителем для дистанционного эксплуатационного управления АТС, замены, отладки или обновления версии программ-
ного обеспечения и представляющих угрозу информационной безопасности, так как данные функции могут совпадать с целями злоумышленника. Кроме того, стоит отметить, что не только современные средства коммутации могут привести к реализации угроз информационной безопасности. Многие телефонные комплексы находятся в эксплуатации длительное время (десятки лет) и поэтому, как правило, базируются на технологических решениях, вообще не предусматривающих вопросы защиты информации.
Несмотря на свои преимущества, прогресс в современных телекоммуникационных технологиях приводит к актуализации старых и возникновению новых угроз, поэтому вопросы предотвращения атак против доступности (прерывание услуги, отказ предоставления услуги, в том числе и из-за перегрузки оборудования, снижение качества связи), конфиденциальности (утечка абонентских данных, данных биллинга, содержимого контента или переговоров) и целостности (так называемое мошенничество - увод и кража трафика, несанкционированное использование ресурсов сети путем подмены данных при авторизации) в настоящее время остаются весьма значимыми.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ПРАВОВАЯ КУЛЬТУРА
А. И. Горев, кандидат юридических наук, старший преподаватель кафедрыг управления и информационным технологий в деятельности ОВД Омской академии МВД России
За годы, прошедшие с введения в действие нового УК России, количество зарегистрированных преступлений в сфере компьютерной информации неуклонно возрастает1. Тенденции свидетельствуют о ежегодном увеличении вдвое (в среднем) количества зарегистрированных преступлений в данной сфере. В указанное число не входят преступления, квалифицируемые по иным статьям УК РФ: подделка таксофонных и кредитных карт, нарушение авторских, смежных и патентных прав, налоговые преступления, связанные с обнулением фискальной памяти кассовых регистраторов, распространение порнографии и многое другое. Хотя, как отмечают специалисты, между интеллектуальным пиратством и преступлениями в сфере компьютерной информации прослеживается определенная взаимосвязь. Так, разработчики программного обеспечения в качестве средств защиты от незаконного копирования включают в свои программы различные коды, пароли и т. д. В процессе подготовки такого продукта к незаконному использованию правонарушитель, изменяя программу, «взламывает» коды, и продаваемые носители часто содержат дистрибутивы программ, не требующих лицензионный номер при инсталляции. Когда защита программного продукта взломана, действия злоумышленника должны быть квалифицированы по ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», поскольку они повлекли модификацию и копирование информации на машинном носителе.
При этом специалистами отмечается высокий уровень латентности компьютерной преступности: по оценкам национального отделения ФБР по компьютерным преступлениям, от 85 до 97% компьютерных вторжений даже не обнаруживаются. В испытаниях, финансировавшихся Министерством обороны США, были получены следующие результаты: из 8932 попыток нападения 7860 (88%) оказались успешными. Управляющий персонал только в 390 (5%) из этих 7860 систем обнаружил нападения, и только 19 менеджеров (5% из 390) сообщили о них2. Это объясняется тем, что организации боятся потерять доверие клиентов и акционеров, если признают, что их компьютеры подверглись нападению. Во время проведения семинара сотрудниками ФБР «Сетевые компьютерные пре-
ступления» в 1999 г. на вопрос о возможности раскрытия преступления был получен аналогичный ответ: «Хорошо подготовленное преступное деяние даже не обнаруживается».
Изложенное не позволяет однозначно оптимистично оценить уменьшение темпов роста количества зарегистрированных преступлений в 2004 г. по сравнению с 2003 г. Наиболее вероятной причиной уменьшения темпов роста мы считаем реорганизацию управления «Р» (специализированного управления по борьбе с преступлениями в сфере компьютерной информации). Преобразование самостоятельного управления в отдел, выполняющий преимущественно сторонние задания, не могло не иметь последствий.
Таким образом, можно предположить, что реальное количество преступлений превышает 100 тыс. в год. И большая часть их не фиксируется или не доводится до сведений правоохранительных органов. Безнаказанность порождает рецидив: совершивший преступление и оставшийся безнаказанным при сходных обстоятельствах повторит свои противоправные деяния. Но когда-нибудь он ошибется и будет наказан. Примером является известное противостояние хакера К. Митника и специалиста по защите Шимомуры, закончившееся арестом и наказанием К. Митника.
Самое непосредственное отношение к воспитанию будущих специалистов имеем мы, преподаватели вузов. Из анализа государственного стандарта по специальности 075600 «Информационная безопасность телекоммуникационных систем» следует, что в дисциплине «Организационно-правовое обеспечение информационной безопасности» не рассматривается ряд юридических вопросов: патентное право, правовое регулирование информационных отношений в области персональных данных, в области разработки и реализации средств связи и телекоммуникаций и др. Все эти вопросы изучаются отраслью «Информационное право», в которой в настоящее время много неясных, спорных, неоднозначно трактуемых положений. И все это должно быть известно и будущим программистам, и тем, кто будет защищать информацию и обслуживать работу информационных систем. Эти знания будущие специалисты должны получить в ходе обучения. Ведь незнание закона не освобождает от ответственности.
Как негативный пример можно привести факт, активно обсуждаемый в сети ФИДО с осени 2004 г. Инженер отдела АСУ фирмы «Натур-продукт» по устному распоряжению руководителя установил в удаленный филиал пакет «1-С» с эмуляцией электронного ключа HASP, тем самым совершив преступление, квалифицируемое по ст. 273 УК РФ «Создание, использование и распространение вредоносных программ». Инженер был наказан, хотя он преступил закон по незнанию.
В г. Омске работами, связанными с защитой информации, начали заниматься более 25 лет назад и продолжают заниматься сейчас. Теоретические разработки и практическая реализация в данной области не уступают мировым достижениям. Ближайшая задача педагогического сообщества - поднять уровень правовой культуры обучающихся до уровня их специальных знаний и тем самым повлиять на будущую криминогенную ситуацию в области информационных технологий.
ОРГАНИЗАЦИОННО-ПРАВОВЫЕ ВОПРОСЫ ЭКСПЛУАТАЦИИ ПРОГРАММНОГО И АППАРАТНОГО ОБЕСПЕЧЕНИЯ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ В ОРГАНИЗАЦИЯХ С. А. Когут, кандидат технических наук, доцент, зам. начальника отдела сетевых технологий Омского государственного университета путей сообщения
В. А. Романов, ведущий программист, главный администратор локальной вычислительной сети Омского государственного университета путей сообщения
В последнее время при эксплуатации парка ЭВМ приходится сталкиваться с новыми проблемами, имеющими преимущественно организационно-правовой характер. Увеличение количества ПК и усложнение характера задач, решаемых с их помощью, привели к необходимости внедрения в практику понятия жизненного цикла программного обеспечения (ПО) и аппаратных средств. Каждый из этапов цикла (приобретение продукта, его эксплуатация, модернизация и вывод из оборота предприятия) требует финансовых затрат. Предприятие должно стремиться к снижению стоимости владения, не ухудшая эксплуатационных качеств продукта, вследствие чего управление жизненным циклом уже является насущной потребностью. Дальнейшее игнорирование этой проблемы способно разрушить информационную систему организации.
Отметим противоречие между коммерческим и бесплатным ПО - отсутствие затрат на приобретение отнюдь не означает нулевую стоимость владения, так как предприятие может иметь высокие издержки при эксплуатации бесплатного ПО (затраты на персонал; менее очевидные расходы, например стоимость потерянного рабочего времени сотрудников предприятия и др.). Можно прогнозировать, что бесплатное ПО не вытеснит платное именно из-за высокой стоимости владения. Скорее, наиболее успешные бесплатные продукты станут полностью или частично коммерческими, а предприятиям придется иметь дело с набором ПО, приобретенным на разных условиях.
Для управления жизненным циклом ПО сначала необходимо выяснить, какие продукты в настоящий момент используются законно, а какие - нет. Например, неочевидно, что бесплатная установка продукта, для которого зарубежный производитель перестал распространять лицензии и прекратил продажи, является законной в России, так как авторские права на него не истекли. К числу таких продуктов относятся Мв Windows 95/98МГ.
Действующее законодательство не регулирует отношения, связанные с лицензированием программного обеспечения, что приводит к существенным проблемам при коммерческом использовании ПО. Часть документации поставляется на иностранных языках, лицензии могут предусматривать свободное частное пользование и платное корпоративное, не всегда четко оговариваются условия предоставления или приобретения новых продуктов, являющихся модернизацией имеющихся. Производители по-разному определяют состав документов, подтверждающих владение лицензией, что порождает ситуации, когда владелец способен доказать факт покупки ПО, но его лицензионное соглашение не действует из-за отсутствия других материалов. Неполный комплект документов может привести к трудностям при передаче ПО другому предприятию. Лицензионные соглашения часто запрещают перепродажу ПО третьим лицам, при этом имеется определенное противоречие с правом распоряжаться приобретенной собственностью. Подобная неопределенность значительно увеличивает финансовый риск и часто наталкивает на мысль, что использовать ПО незаконно в организационном плане намного проще. Требуется законодательно упорядочить вопросы о наборе обязательных компонентов лицензий, правилах перепродажи приобретенного продукта, хранении и распределении лицензий на предприятии и т. п.
Постепенно открывается обширное поле для оказания консультационных юридических услуг, ранее мало востребованных. Например, не вполне понятно, какие внутренние документы следует оформлять при выполнении установки ПО.
Следует ли трактовать запись в должностной инструкции о наличии обязанностей по установке и обслуживанию ПО как явное определение ответственного? По мере расширения правоприменительной практики ситуация может складываться как в пользу работодателя, так и в пользу работника. Сами организации обычно не способны решить подобные вопросы, поэтому по мере ужесточения борьбы с незаконно используемым ПО они будут вынуждены обращаться к консультантам и пересматривать отношения внутри предприятия.
Достаточно остро стоит проблема оценки работоспособности приобретенного продукта. Имеются сложности с проведением технической экспертизы состояния аппаратного обеспечения. При продаже компонентов и изделий в состав комплекта часто не включаются сведения о допустимых условиях применения и рабочих диапазонах изменения параметров устройств. В лучшем случае соответствующая документация предоставляется на сайте производителя. Имеется необходимость в перечнях показателей и методов, позволяющих производить оценку работоспособности различных видов аппаратного обеспечения, позволяющих упростить экспертную оценку их состояния.
По мере того как использование ПЭВМ станет необходимым условием функционирования предприятий, неизбежный выход из строя и потеря эксплуатационных качеств компьютера станет проблемой, требующей больших финансовых затрат. По этой причине предприятия будут вынуждены начать проведение плановых профилактических ремонтов и модернизаций, позволяющих повысить уровень надежности ПК и поддерживать их эксплуатационные качества в течение более долгого времени. Однако для того чтобы наладить этот процесс, необходимо устранить ряд препятствий.
Ввод в эксплуатацию и модернизация должны фиксироваться соответствующими актами, что делается не во всех случаях или в них отражается недостаточный объем информации. Отсутствие информации об уже установленных в ПЭВМ компонентах, как и вновь устанавливаемых, способно приводить к нарушениям в работе информационных систем при дальнейшем их развитии.
Каждый тип компонентов имеет свой срок физического устаревания, после которого возможны сбои и отказы, способные нанести ущерб информационной системе. Учет компонентов, выполняемый ИТ-службами, в общем случае позволяет отслеживать наступление момента желательной модернизации, однако руководству предприятия достаточно сложно объяснить, зачем заменять еще работающее устройство. Решением проблемы может стать использование допустимых сроков нахождения в эксплуатации по общероссийскому классификатору основных фондов. Например, для различных компонентов средств вычислительной техники установлен норматив от 3 до 5 лет. Предприятие может выбрать для каждой амортизационной группы устройств свой срок в указанном диапазоне, однако бухгалтерия сама по себе обычно не способна присвоить компоненту номер амортизационной группы, а ее связь с ИТ-службами чаще всего недостаточно тесная.
СРАВНИТЕЛЬНЫЙ АНАЛИЗ ПРОГРАММ ДЛЯ ЭВМ И ЛИТЕРАТУРНЫХ ПРОИЗВЕДЕНИЙ КАК ПРОДУКТОВ ИНТЕЛЛЕКТУАЛЬНОГО ТРУДА
Белевич П. А., преподаватель кафедрыI управления и информационных технологий в деятельности ОВД Омской академии МВД России
Согласно действующим российским законам программное обеспечение (ПО) для ЭВМ принято считать продуктом творческого труда. В частности, ст. 2 Закона «О правовой охране программ для ЭВМ и баз данных» однозначно поставила
компьютерные программы на один уровень с литературными произведениями в аспекте признания их объектами авторского права и обеспечения соответствующей правовой охраны. Тем не менее эти продукты интеллектуального труда человека во многом различаются. Проанализируем цели создания литературных произведений и программ для ЭВМ, порядок их создания (или производства), качественную сторону результата, критерии оценки того и другого вида продукта со стороны их потребителей. Необходимость такого анализа продиктована неудовлетворительным положением дел в области качества коммерческого ПО, пиратством в этой сфере и отношением к нему со стороны пользователей персональных компьютеров (ПК)3. Вся существующая система правовой охраны программ для ЭВМ строится исходя из того, что программы рассматриваются как объект интеллектуальной собственности, авторского права, результат творческого труда, а также как предмет продажи или обмена (товар).
Прежде всего необходимо четко определить, что следует называть творчеством, каковы отличительные признаки продукта творческого труда по отношению к результатам иных видов человеческой деятельности. Если принять за основу энциклопедическое определение творчества, то его отличительные признаки состоят в наличии субъекта творческой деятельности - человека; качественной новизне; уникальности, неповторимости произведения; индивидуальном характере творческой деятельности, порождающем продукт творческого труда.
Что касается произведений литературы, то творческая основа их создания несомненна. Фантазия автора, его стиль -все это уникальные особенности литературного произведения. Четкую цель его написания едва ли можно выделить - это, скорее, совокупность множества целей, стремлений автора, среди которых - желание показать картину придуманного сюжета широкой аудитории, потребность описать какую-либо проблему, жизненную ситуацию, историческое событие и т. д. Процесс создания такого произведения не может быть разделен на четкие этапы, хотя в зависимости от его характера может потребовать изучения каких-либо научных теорий, исторических документов и других источников. Время, требуемое на написание произведения литературы, также не может быть чем-то измерено или даже оценено. Как известно, некоторые произведения пишутся в короткие сроки, «на одном дыхании», а работа над другими растягивается на годы. Причем качество конечного результата может мало зависеть от времени, затраченного на его создание. Да и само понятие «качество» применительно к литературному произведению также не может быть оценено жесткими характеристиками и параметрами. Ни объемы продаж литературного произведения, ни известность имени автора, ни популярность жанра не могут в отдельности определить его качества. И у разных читателей эта оценка будет разной. Все это и привело к тому, что произведение литературы признается объектом авторского права в силу факта создания, автором его может быть только физическое лицо, а распространяться на коммерческой основе оно может по принципу «как есть» (именно по причине отсутствия критериев оценки качества).
Рассматривая с аналогичных позиций компьютерные программы, начнем с определения понятия «программа для ЭВМ» в том же законе «О правовой охране программ для ЭВМ и баз данных»: «...программа для ЭВМ - это объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата», т. е. любая программа пишется с заранее известной и точно определенной целью и имеет своего потребителя. Процессу разра-
ботки коммерческого ПО для ЭВМ предшествуют исследования рынка на предмет необходимости нового программного продукта, требуемых качеств, объема пользовательской аудитории и т. д. Сам процесс создания программы, как правило, жестко ограничен по времени и требованиям технического за-дания4. Результат, полученный по окончании разработки программы, может быть оценен вполне конкретными критериями. Любой пользователь ПК, установив новую программу, проверит ее общую работоспособность, соответствие встроенных функций заявленным в сопроводительной документации, особенности взаимодействия с другими программами и т. д.
Из приведенного сопоставления видно, что общее между литературными произведениями и программным обеспечением для ЭВМ лишь в том, что это - результаты интеллектуального труда. Но не всякий интеллектуальный труд можно считать творчеством. Учитывая приведенные выше аргументы, процесс разработки компьютерной программы - чисто инженерная задача, во многом формализованная, определенная действующими спецификациями, стандартами, техническим заданием. И тот факт, что в результате ее решения получается не функциональное устройство, а функциональный алгоритм, никак не позволяет уравнивать программное обеспечение для ЭВМ с литературными произведениями.
На самом же деле сложилась ситуация, при которой обычные компьютерные программы безосновательно возведены в ранг продуктов творческого труда и распространяются по принципу «как есть». И если этот принцип не только применим, но
и, пожалуй, единственно возможен по отношению к литературному произведению, то в отношении компьютерных программ его использование просто недопустимо, так как исключает любую ответственность разработчика ПО за качество выпущенного продукта. В том, что ситуация именно такова, сомневаться не приходится: достаточно прочитать лицензионные соглашения на любые коммерческие программные продукты. Приведем некоторые особенности таких лицензионных соглашений:
1) отсутствие гарантии работоспособности лицензируемого продукта;
2) отсутствие гарантии соответствия возможностей и свойств продукта задачам пользователя;
3) требование со стороны правообладателя неукоснительного соблюдения пользователями положений лицензионного соглашения;
4) невозможность ознакомления с положениями лицензионного соглашения до приобретения копии ПО и начала процесса установки его на ЭВМ;
5) запрещение установки лицензируемого программного продукта более чем на один компьютер;
6) запрещение передачи программного продукта другим лицам во временное пользование;
7) запрещение декомпиляции программного продукта во всех случаях, кроме обеспечения взаимодействия с другими программами;
8) отсутствие гарантии безопасности продукта по отношению к пользовательским данным и другим программам, сохраняемым в памяти компьютера;
9) отказ от гарантии отсутствия вредоносных кодов и недокументированных возможностей в тексте программы.
Все приведенные особенности указывают на то, что производитель ПО и его правообладатель сознательно уходят от признания ответственности за качество выпущенной продукции и от ее дальнейшего сервисного сопровождения и действующее законодательство вполне позволяет им это как раз за счет признания компьютерных программ продуктами творческого
труда. Практически любой крупный коммерческий пакет ПО в ближайшие месяцы после выхода в свет дополняется различными программными «заплатками» (patch), целыми пакетами исправлений и дополнений (service pack), исправляющими ошибки разработчиков. Все это является косвенным доказательством того, что любая компания-производитель коммерческого ПО не уделяет должного внимания тестированию продукта, фактически оставляя эту процедуру зарегистрированным пользователям, купившим лицензионную копию программы. Такой подход к производству и распространению коммерческого ПО во многом и создает почву для появления и распространения контрафактной продукции в области программного обеспечения для ЭВМ. В самом деле, любой пользователь ЭВМ, приобретя лицензионную копию коммерческого пакета ПО, может получить недоработанный программный продукт, имеющий весьма слабое сервисное сопровождение, которое часто просто декларируется, а не гарантируется, и на деле, как правило, проблем не решает и поддержки почти не оказывает. Таким образом, у любого, даже самого законопослушного пользователя ПК, рано или поздно возникает вопрос: «А не проще ли приобрести контрафактную программу?» В пользу такого способа оснащения программным обеспечением говорит и то, что «пиратская» копия коммерческого ПО, будучи взломанной и освобожденной от встроенных средств защиты, зачастую бывает также существенно доработана и исправлена. Разумеется, рассмотренная позиция пользователя ПК совершенно неправомерна, хотя понять ее можно. Действующие же юридические нормы должны быть изменены так, чтобы в равной степени поддерживать права и интересы как производителя и правообладателя ПО для ЭВМ, так и пользователя.
ИСПОЛЬЗОВАНИЕ АНТИВИРУСНЫХ ПРОГРАММ В КОРПОРАТИВНОЙ СЕТИ
А. А. Никитина, инженер-технолог Омского отделения ИВЦ Западно-Сибирской железной дороги
Антивирусное программное обеспечение стало неотъемлемой составляющей ПО любого компьютера. Большинство имеющихся на рынке антивирусных программ представляет собой комплекс программных модулей, каждый из которых осуществляет определенный набор функций, требует дополнительных системных ресурсов, дискового пространства, возможностей процессора. Если же рассматривать использование антивирусных программ в корпоративной сети предприятия, то на первый план встают следующие проблемы:
- комплексность решений для всей сети - защита файловых, почтовых и иных серверов, а также рабочих станций, сетевого оборудования. Как следствие, такие решения должны подразумевать наличие ПО для различных операционных систем, использующихся в сети в случае ее гетерогенности, и обеспечивать максимально приемлемое разделение обязанностей между модулями ПО для обеспечения эффективной загрузки аппаратных ресурсов;
- централизованное управление и распределение политик безопасности и вирусных баз;
- минимальное участие пользователей в процессе настройки программы и ее обновлений;
- максимальное ограничение прав пользователя по возможностям выгрузки, удаления и изменения программы;
- недостаточный уровень подготовки пользователей.
Оптимальными в таких случаях являются «клиент-серверные» решения, что позволяет повысить уровень безопасности, снизить нагрузку на сетевой трафик и загрузку процессора локального компьютера. Эффективность комплексного использования антивирусных программ для защиты информационной
сети предприятия подтверждается практическими данными. Под комплексным в данном случае понимается использование однородного антивирусного программного обеспечения и его централизованное обновление и администрирование во всех частях сети передачи данных.
Исследование эффективности проводилось на примере сети передачи данных Омского отделения Западно-Сибирской железной дороги. В январе 2004 г. здесь было произведено внедрение корпоративного антивирусного программного обеспечения Symantec Antivirus Corporate Edition 8.1 фирмы Symantec и OfficeScan Corporate Edition 6.5 фирмы Trend Micro. Оба программных продукта являются лицензионными. Обеспечивается защита всех корпоративных серверов и рабочих станций.
В качестве объекта исследования был взят поток сообщений, проходящих через почтовый сервер отделения дороги. Главной причиной подобного выбора стало то, что электронная почта является основным источником распространения вирусов в системе передачи данных отделения.
За год использования комплексных политик антивирусной безопасности произошло снижение зараженности вирусами почтовых сообщений в 4,1 раза, число макровирусов сократилось в 4,5, а прочих - в 3,8 раза. Сокращение количества вирусов произошло благодаря введению однородного антивирусного обеспечения на компьютерах пользователей, что позволило удалять вредоносные коды еще до попадания их в почтовые сообщения. Были зафиксировано всего два случая заражения локальной сети отделения и станций. Середина апреля 2004 г.: заражение компьютеров вирусом W32.Insane (причина - отсутствие сигнатуры вируса в используемых базах данных, источник - внешние сети передачи данных). Начало мая 2004 г. - заражение вирусом W32.Sasser (причина - неустановленные обновления в программном обеспечении, источник -внешние сети передачи данных). Оба вируса относятся к типу
сетевых и производят заражение и запуск своей копии на компьютерах, используя для размножения уязвимость программного обеспечения. Произошло сокращение времени борьбы с новыми эпидемиями и исключение рецидивов. Начиная с середины 2004 г. вирусных заражений, требующих для ликвидации больших ресурсов, зафиксировано не было.
Противодействие и исключение заражения сети предприятия обеспечивается силами администратора антивирусных серверов и почтового администратора, введением дополнительных настроек на корпоративных серверах и слежением за их исполнением. Важно также сочетать обеспечение антивирусной безопасности с общим подходом к таким настройкам безопасности сети, как регулярное и своевременное обновление программного обеспечения, настройка сетевых фильтров, идентификация пользователей, анализ сетевого трафика и т. п. Это позволяет выйти на максимальный высокий уровень защищенности сети предприятия от внешних угроз.
Материалы подготовлены к публикации начальником кафедры управления и информационных технологий А. П. Косоротовым и преподавателем кафедры управления и информационных технологий П. А. Белевичем.
1 Данные за 1997-2001 гг. см.: Долгова А. И. Преступность, ее организованность и криминальное общество. - М.: Российская криминологическая ассоциация, 2003. - С. 556. Данные за 2002-2004 гг. с официального сайта МВД России <www.mvdinform.ru>.
2 См.: Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. - М.: Мир, 1999. - С. 18.
3 См.: Белевич П. А. Ответственность производителей коммерческого программного обеспечения за качество выпускаемой продукции // Научный вестник Омской академии МВД России. - 2004. - № 2 (20). -
С. 23.
4 См.: ГОСТ 19.102-17 «Единая система программной документации. Стадии разработки».
