Функції, їхні властивості і графіки. 5 страница

Уязвимостью называется любая характеристика или любой элемент информационной системы, использование которых злоумышленником может при­вести к реализации угрозы. Примером уязвимости может быть, например, отправка сервером различных сообщений в ответ на неправильную команду запроса доступа к сети. Такое сообщение может содержать информацию, полезную для злоумышленника.

Атакой называется реализация злоумышленником угрозы информационной безопасности.

10.2. Политика безопасности

Совершенно очевидно, что в современных условиях система безопасности должна строиться как много эшелонированная оборона, элементы которой взаимодействуют и развиваются по определённому стратегическому плану. Таким планом является Политика безопасности.

Политика безопасности является первичным документом в системе документов, обеспечивающих информационную безопасность предприятия. Она представляет собой план самого высокого уровня и описывает безопасность в самых общих терминах в целях планирования всей программы обеспечения информационной безопасности. Политика безопасности охватывает все средства вычислительной техники и коммуникаций, а также программное обеспечение.

Рис. 10.2. Структура политики безопасности

Структура политики безопасности показана на рис. 10.2, из которого видно, что политика безопасности предусматривает как чисто организационные мероприятия, так и мероприятия, затрагивающие техническое и програм­мное обеспечение, которые должны под­держивать операционные системы. Например, идентификация пользователя и политика управления паролями и полномочиями пользователей должны поддерживаться операционными системами. Для того, чтобы работать с электронной почтой и осуществлять её защиту, необходима также поддержка их операционными системами. Операционные системы должны поддерживать и систему шифрования и расшифровывания данных, и нейтрализацию угроз процессу обмена информацией со стороны авторов сообщений, их получателей и злоумышленников, удостоверение авторства сообщений и многое другое.

В частности, в процессе информационного обмена угрозы могут создавать три участника этого процесса:

· злоумышленник:

ознакомление с содержанием переданного сообщения;

навязывание получателю ложного сообщения как посредством искажения, так и полной его фабрикации;

изъятие сообщения из системы с сокрытием факта изъятия;

создание помех в работе канала связи.

· законный источник сообщения:

разглашение переданного конфиденциального сообщения;

отказ от авторства действительно переданного им сообщения;

утверждение о передаче получателю фактически не отправлен­ного сообщения.

· законный приёмник информации:

разглашение полученного сообщения;

отказ от факта получения сообщения, которое в действительности было получено;

утверждение о получении сообщения, которое, якобы, было отправлено источником, а фактически было сфабриковано самим получателем.

Для облегчения разработки политики безопасности существуют шаблоны как политики безопасности в целом, так и её составных частей.

10.3. Защита от вторжений

Вторжение – это вход в защищённую информационную систему. Последствия вторжения плохо предсказуемы. Обычно вторжение преследует вполне определённые цели. Как правило, после вторжения следуют попытки стать привилегированным пользователем (например, администратором) с последующим осуществлением зловредных действий (кража или разрушение информации и т.д.). Однако встречаются вторжения, сделанные просто для самоутверждения.

Наиболее часто защита от несанкционированного доступа осуществляется присвоением каждому пользователю специального имени (логина), под которым пользователь зарегистрирован в операционной системе и пароль – набор символов, служащий для подтверждения соответствия субъекта, реально входящего в систему, владельцу логина. Пара логин и пароль уникальна для операционной системы управляющей работой компьютера или для сервера локальной сети.

Несмотря на кажущуюся надёжность этого способа, эта система достаточно легко взламывается. Согласно теории шифрования, стойкость логина и пароля зависит от их длины. Однако это верно для логина и пароля, создаваемых случайным образом. Часто администратор назначает логин и пароль, имеющие смысл, а в некоторых случаях пользователю предоставляется возможность переопределить пароль или самостоятельно назначить логин и пароль (например в электронной почте). Большая вероятность наличия логинов и паролей, имеющих смысл, создаёт возможность программным способом генерировать пары логин – пароль и проверять их. Существуют и другие способы несанкционированного проникновения в систему, основанные на командах ping, telnet, dnsquery, nslookup, dig и многих других.

Существуют алгоритмы, усиливающие пароль и системы заменяющие его. К ним относятся:

· шифрование пароля после ввода его пользователем;

· алгоритм "соли", предусматривающий добавление к паролю случайного числа, меняющегося при каждом входе в систему;

· одноразовые пароли;

· система "оклик – отзыв";

· аутентификация (опознание) с помощью объекта, например, специальной пластиковой карточки;

· аутентификация пользователя по биометрическим данным.

Шифрование пароля после ввода его пользователем предусматривает хранение в файле паролей операционной системы не паролей пользователей, а паролей пользователей, преобразованных по некоторому алгоритму. Исходными данными является пароль, введённый пользователем, результатом – преобразованный пароль, зависящий от алгоритма шифрования и от введённого пароля. Попытка злоумышленника ввести зашифрованный пароль приведёт к результату, отсутствующему в таблице зашифрованных паролей.

Алгоритм "соли" приводит к созданию у злоумышленника файла возможных комбинаций логина и пароля, имеющего огромный размер, что существенно затрудняет поиск нужной пары.

Одноразовые пароли предполагают создание программным способом или списка одноразовых паролей, или генерацию списка одноразовых паролей, полученных преобразованием последнего в списке пароля. Алгоритм генерации паролей таков, что по текущему паролю можно вычислить предшествующий, но не последующий. В системе ведётся учёт числа вхождений пользователя в систему и хранится последний в списке пароль. При входе в систему по номеру вхождения и хранящегося пароля вычисляется текущий пароль и сравнивается с введённым.

Система "оклик – отзыв" предусматривает требование ответа на вопрос после ввода пользователем логина. Список вопросов и ответов на них заранее сгенерирован для каждого пользователя. Вопросы касаются фактов, известных пользователю, но с большой вероятностью неизвестных злоумышленнику. Примерами таких вопросов являются вопросы "Девичья фамилия Вашей бабушки?" или "Где мы встречались в апреле 2010 г.?". Если эта фамилия встречающаяся редко, то маловероятно, что она окажется в списке возможных пар логин – пароль, имеющегося у злоумышленника, а уж место встречи в заданную дату, имеющее значение для легального пользователя, злоумышленнику угадать практически невозможно.

Система аутентификации с помощью объекта предполагает наличие у пользователя специальной пластиковой карточки с данными или HASP-ключа, вставляющегося в порт USB. Сервер, обслуживающий рабочее место пользователя, отправляет запрос, компьютер рабочего места считывает данные и отправляет их на сервер. Сервер сравнивает полученные данные с данными, имеющимися у него в специальной базе данных, и в случае совпадения разрешает доступ.

10.4. Межсетевые экраны

На рис. 10.1 приведена схема взаимодействия локальной сети предприятия с глобальной сетью Интернет при отсутствии аппаратных средств защиты. Одной из важных возможностей осуществления угроз информационной безопасности является наличие ничем не контролируемых трафиков (обмена информацией) с сетью Интернет и внутри локальной сети, которыми может воспользоваться злоумышленник.

Программные и аппаратные средства, позволяющие разделить сеть на две и более частей, осуществлять контроль трафиков и блокировать нежелательные трафики, называются межсетевыми экранами, брандмауэрами или fierwall'ами. Идеальный брандмауэр должен выполнять следующие функции:

· блокировка внешних атак, включая сканирование портов, подмену IP-ад­ресов, DoS и DDoS (атак "Отказ в обслуживании"), подбор паролей и пр.

· блокировка утечки информации даже при проникновении вредоносного кода в компьютер посредством блокирования выхода кода в сеть.

· контроль приложений запрашивающих разрешение на доступ к открытым портам с проверкой по имени файла и аутентичности приложения;

· поддержка зональной защиты с дифференциальным подходом к анализу содержания контента в зависимости от зоны его поступления (Интернет или внутренняя локальная сеть);

· протоколирование и предупреждение, т.е. брандмауэр должен собирать строго необходимый объем информации;

· максимально прозрачная работа, применение мастеров настройки брандмауэров.

Классификация брандмауэров приведена на рис. 10.3.

Рис. 10.3. Классификация брандмауэров

Аппаратные брандмауэры существуют в виде физических устройств, не являющихся персональными компьютерами и серверами. Примерами брандмауэров, являющихся аппаратными средствами являются межсетевые экраны фирмы D-Link серий DFL и DSR.

Программные брандмауэры ставятся на персональные компьютеры рабочих мест или серверы. Примером такого брандмауэра является брандмауэр Windows, входящий в состав операционной системы Windows 2000/ХР и последующих версий.

Локальные брандмауэры устанавливаются на одно рабочее место или на один сервер, распределённые – на множество компьютеров и серверов.

Брандмауэр, работающий на пакетном уровне, осуществляет фильтрацию входящих и исходящих пакетов. Большинство пакетных брандмауэров проверяют полную ассоциацию пакетов, т.е. связи пакета с конкретным отправителем и конкретным получателем, на основе IP-заголовка пакета. Он включает в себя: адреса отправителя и получателя, информацию о приложении или протоколе, номера портов источника и получателя. Прежде чем отправить пакет по адресу проверяется соответствие пакета одному из правил фильтрации. Если пакет не удовлетворяет правилу фильтрации, то обычно посылка пакета блокируется.

Пакетный брандмауэр не проверяет содержание пакета информации, поэтому его можно обойти, создав IP-заголовок, который удовлетворяет правилам фильтрации. Дополнительную возможность обхода создаёт возможность указания злоумышленником адреса источника, которому получатель пакета доверяет.

Брандмауэр прикладного уровня перехватывает входящие и исходящие пакеты, использует программы-посредники, которые копируют и перенаправляют информацию через брандмауэр, а также выполняет роль сервера посредника, исключая прямые соединения между доверенным сервером или клиентом и внешним хостом. Посредники, используемые брандмауэром прикладного уровня, связаны с приложениями и могут фильтровать информацию на прикладном уровне модели OSI. Примерами программ-посредников являются службы FTP и Telnet. Настройка брандмауэра позволит блокировать пакеты, содержащие нежелательные команды, например команду PUT службы FTP.

Брандмауэр сеансового уровня фильтрует пакеты на основе подтвержде­ния (квитирования) связи. Прежде всего, выполняется проверка осуществления полной ассоциации пакета с отправителем и получателем. Далее брандмауэр связывается с приёмником и осуществляет с ним обмен флагами SYN и ASK пакета. Если числа в этих флагах связаны установленными правилами, то пакет отправляется получателю.

Для осуществления процесса обмена информацией используются программы, которые называются канальными посредниками. Именно они копируют и пересылают информацию посредством создания виртуального канала связи между отправителем и получателем. После квитирования связи никакой фильтрации пакета не происходит до окончания сеанса связи.

Дополнительной функцией брандмауэра сеансового уровня является преобразование IP-адресов внутренних отправителей в один "надёжный" адрес сеансового брандмауэра, т.е. он выполняет функцию proxy-сервера и маскирует внутренние элементы локальной сети от внешних источников.

Экспертные брандмауэры являются брандмауэрами, работающими на всех указанных уровнях.

Применение брандмауэров иллюстрируется рис. 10.4.

Рис. 10.4. Применение брандмауэров

Брандмауэр_1 отделяет сервер от глобальной сети Интернет и контролирует внешний трафик сети предприятия. Брандмауэр_2 разделяет на два сегмента локальную сеть предприятия и контролирует трафик между сегментами локальной сети предприятия.

Недостатками брандмауэров являются:

· Разрозненность систем защиты

· Отсутствие защиты для нестандартных или новых сетевых сервисов

· Снижение производительности

В целях повышения надёжности защиты на брандмауэры устанавливается следующее программное обеспечение:

· Intrusion Detection System (IDS – система выявления атак);

· система контроля целостности программного обеспечения и конфигурации;

· система мониторинга системы и оповещения о неисправностях.

10.5. Отключение ненужных служб

Различные сервисы требуют доступ к разным элементам сети (в том числе и к Интернет) через различные порты. Поэтому наличие работающих ненужных системных служб обуславливает наличие множества открытых портов, без которых можно было бы и обойтись. В различных ситуациях можно отключить следующие службы:

· почти всегда:

"Автоматическое обновление";

"Адаптер производительности WMI";

"Модуль поддержки смарт-карт";

"Смарт-карты";

"Серийный номер переносного медиа-устройства";

"Планировщик заданий";

Telnet;

NetMeeting Remote Desktop Sharing;

"Диспетчер сеанса справки для удаленного рабочего стола";

"Диспетчер сетевого DDE";

"Диспетчер учетных записей безопасности";

"Модуль поддержки NetBIOS через TCP/IP";

"Обозреватель компьютеров";

"Оповещатель";

"Рабочая станция";

"Сервер";

"Сервер папки обмена";

"Сетевой вход в систему";

"Служба сетевого DDE";

"Служба сетевого расположения NLA";

"Служба сообщений";

"Службы криптографии";

"Службы терминалов";

"Удаленный реестр";

"Фоновая интеллектуальная служба передачи";

"Диспетчер автоподключений удаленного доступа";

· если нет "Умной" бытовой техники:

"Служба обнаружения SSDP"

"Узел универсальных PnP-устройств"

при одной учётной записи пользователя:

"Вторичный вход в систему";

"Совместимость быстрого переключения пользователей";

если не используется RAID-массив дисков:

"Теневое копирование тома"

· для домашнего пользователя сети:

"Журналы и оповещения производительности";

"Служба регистрации ошибок";

"Уведомление о системных событиях";

· при отсутствии Wi-Fi адаптера;

"Беспроводная настройка";

· при пользовании сторонними программами записи на компакт-диски:

"Служба COM записи компакт-дисков IMAPI".

Отключение ненужных служб выполняется в окне приложения System Control Manager (рис. 9.2, 9.3). Следует иметь в виду, что отключение служб является серьёзным шагом, поэтому необходимо чётко фиксировать в своём рабочем журнале сделанные отключения, наблюдать за поведение компьютера и, в случае необходимости, отменять отключение служб.

10.6. Защита от спама

Спамом называются ненужные письма, как правило, рекламного характе­ра, присланные пользователю без запроса с его стороны. Часто такие письма рассылаются автоматически от имени фальшивых отправителей. Поэтому отловить спаммера очень сложно. Значительно проще принять меры защиты. Простейшей радикальной мерой будет изменение почтового адреса, хотя это делается весьма неохотно. Такая защита имеет низкую стойкость вследствие существования программ автоматического поиска адресов электронной почты.

Большую стойкость обеспечивают антиспамовые фильтры, которые имеют современные почтовые серверы и клиенты (например, "The but!"). Антиспамовые фильтры являются на сегодняшний день самыми эффективными средствами защиты от спама, дающими долговременный эффект. Они являются экспертными системами, классифицирующими электронные письма на обычные и спам по множеству признаков. Как всякие экспертные системы они подлежат обучению. Фильтры, установленные на почтовых серверах, обучаются обслуживающим персоналом, а фильтры почтовых клиентов – пользователем. Уточнить настройку антиспамового фильтра сервера может пользователь электронной почты, пометив письмо знаком "Спам" в списке входящих писем.

10.7. Защита от вредоносных программ и вирусов
средствами операционных систем

Номенклатура вредоносных программ и их проявления достаточно широки. Основным средством, который пользователь может противопоставить вирусам является установка антивирусного программного обеспечения.

Однако и на уровне операционных систем могут быть осуществлены меры защиты от вредоносных программ:

Минимизация кодов модулей операционной системы.

Исключение использования активного содержимого.

Отдание предпочтения модели операционной системы, ориентированной на высокий уровень защищённости, а не на наибольшую простоту использования;

Более чёткое разграничения программных модулей, работающих в привилегированном и пользовательском режимах.

Разнообразие независимых операционных систем и их версий.

Внедрение управляемого пользователем механизма защиты определённых цилиндров жёсткого диска с разрешением записи на них изменением состояния переключателя, управляющегося пользователем.

Внедрение механизма защиты от перезаписи флэш-памяти, хранящей BIOS, управляемого пользователем посредством изменения состояния переключателя на передней панели системного блока.

Внедрение средств антивирусной защиты, встроенных в операционные
системы.

Поддержка электронной цифровой подписи для различного программного обеспечения.

Современные операционные системы в большинстве своём в целях коммерческого успеха включают в себя огромное количество различных приложений и программных модулей, реализующих функции, не входящие в компетенцию операционных систем. Опыт показывает, что чем больше программный код модулей операционной системы и системы в целом, тем больше в нем различных уязвимых мест, в том числе и для вредоносных программ.

В настоящее время широко распространена практика включения программных кодов в состав документов. Примером могут служить макросы в документах MS OFFICE, различные ActiveX (элементы пользовательского интерфейса, реализованные в виде программных модулей различных библиотек) и т.д. Принцип защиты: "Присланный документ не должен требовать запуска присланного с ним программного кода".

В целях достижения коммерческого успеха многие разработчики предпочитают создавать операционные системы, ориентированные на пользователей с низкой квалификацией. При разработке системы неизбежно возникает необходимость компромисса между защищённостью системы и простотой её использования. Простейший пример: система Unix требует ввода пароля пользователя при загрузке операционной системы. Система Windows имеет перекос в сторону простоты использования, и без специальных настроек не требует ввода пароля для единственного пользователя компьютера. В эту же сторону начал крениться и Linux в последних версиях.

Разнообразие независимых операционных систем и их версий существенно затрудняет разработку вредоносных программ и механизмов их внедрения. Значительно сложнее создать универсальный вирус, пригодный для множества систем, чем вирус, успешно работающий и внедряющийся в одну единственную операционную систему или множество версий системы, наследующих код ключевых модулей от более ранних версий.

Внедрение механизмов защиты цилиндров дисков и флэш-памяти, управляемых пользователем посредством изменения состояния переключателей на передней панели системного блока даст возможность пользователям сознательно разрешать или запрещать идентификацию указанных объектов, предотвращая тем самым изменение загрузочных записей дисков, файлов операционной системы, программного обеспечения и т.д. Например, легко понять, что если пользователь не производит обновление BIOS, то перезапись флэш-памяти должна быть запрещена.

Примерами встроенных средств антивирусной защиты является создание точек восстановления системы, организация резервного регулярного копирования, которое можно бы сделать автоматическим, встроенные фильтры типа SmartScreen броузера Internet Explorer, использование только программного обеспечения, имеющего цифровую подпись, выданную известными центрами сертификации и многое другое.

10.8. Защита конфиденциальной информации.

В компьютере хранится огромное количество данных, которые являются конфиденциальными. К их числу относятся логины и пароли, электронные адреса корреспондентов, номера кредитных карточек, персональные данные, различные документы, предназначенные для узкого круга лиц и многое другое. Их хищение или повреждение может привести к множеству отрицательных последствий от распространения спама до преступлений и мошенничества. Именно поэтому конфиденциальные данные нуждаются в защите.

Одним из каналов доступа к конфиденциальной информации являются вредоносные программы, и операционные системы имеют средства защиты от них (раздел 10.7). Вторым каналом несанкционированного доступа является перехват сообщений, передаваемых по сети. Наиболее действенной защитой от перехвата является шифрование передаваемой информации. Шифрование может поддерживаться операционной системой.

Не менее важным каналом являются сами пользователи информационной системы предприятия, организации, локальной или глобальной сети. Без принятия защитных мер информация любого компьютера теоретически становится доступной для любого абонента сети и любого пользователя информационной системы организации.

Первым барьером на пути неограниченного доступа становится деление каталогов файловой системы на две группы: обычные каталоги и каталоги общего пользования. Операционные системы различают эти каталоги и автоматически маскируют обычные каталоги от пользователей сети. Файловые менеджеры этих пользователей просто "не видят" их. Но каталоги общего пользования также должны защищаться от неправомерного доступа к информации. Никто не сказал, что любой каталог общего пользования содержит файлы, которые должны быть доступны всем без ограничения возможных операций с ними.

Вторым защитным барьером операционной системы является регулирование прав доступа к информации каталогов общего пользования посредством паролей. В Windows для каталога общего пользования можно назначить два пароля: один для чтения, другой – для полного доступа.

Отсутствие обоих паролей означает полный доступ к файлам каталога общего пользования для любого абонента сети и любого пользователя компьютера. Наличие пароля на чтение фактически означает доступ к файлам только определённого круга лиц, т.к. сторонним пользователям каталог общего пользования будет "виден", но попытка войти в него будет пресекаться запросом пароля.

Наличие только пароля на полный доступ означает разрешение чтения и исполнения файлов каталога общего пользования любым пользователем сети или информационной системы. Но пароль на полный доступ запрещает любые изменения файлов (в т.ч. и их удаления, переименования, перемещения) и запись своих файлов в каталог общего пользования пользователям, не знающим пароля. Они могут скопировать файл в свой каталог, изменить его, но не могут заменить изменённым файлом оригинал в каталоге общего пользования.

Наличие одинаковых паролей на чтение и полный доступ делит пользователей на две группы: пользователей без прав доступа и пользователей с полным доступом к файлам каталога общего пользования.

Наличие разных паролей на чтение и полный доступ делит пользователей на три группы: пользователей с отсутствием прав доступа к каталогу общего пользования, пользователей, имеющих право только на чтение и пользователей правами полного доступа к файлам.

Такой способ регулирования прав доступа называется регулированием на уровне разделения ресурсов. Очевидно, что для его реализации каталоги должны иметь атрибуты: обычный/разделяемый и свойства пароль на чтение и пароль на полный доступ. Операционная система должна поддерживать этот механизм созданием запроса пароля, принятием пароля и принятием решения о предоставлении доступа. Если не принимать во внимание целенаправленные попытки получения доступа к конфиденциальной информации посредством различных атак, например, атаки с эскалацией прав, разделение ресурсов является достаточно надёжной защитой, однако недостаточно гибкой.

Примечание: Ряд программ, например, некоторые архиваторы и текстовые и табличные процессоры Word и Excel дополняют эту защиту установкой паролей на файлы, защищая их целиком от чтения и/или изменения. Excel обеспечивает также защиту отдельных частей файла: страницы рабочей книги, столбца, строки и даже отдельных клеток. Но это заслуга не операционной системы, а самих программ. Квалифицированный "взломщик" может преодолеть и эту защиту в среде специальных программ взлома паролей.

Наиболее гибким и эффективным способом защиты конфиденциальной информации является администрирование системы. Оно предусматривает:

· разделение пользователей на группы с определением прав доступа к файлам и каталогам;

· регистрацию групп;

· регистрацию пользователей в группах с назначением им логинов и паролей.

Для поддержки администрирования системы каталоги и файлы должны иметь соответствующие атрибуты. Например, в UNIX устанавливается 9-раз­рядный защитный код файла, состоящий из триад (троек) битов, которые называются rwx -бита­ми. Бит r разрешает/запрещает чтение файла, бит w – запись данных в файл, x – исполнение файла. Первая тройка rwx -битов определяет права владельца файла, вторая – права пользователей группы, в которую входит владелец, третья – права прочих пользователей.

Контрольные вопросы

Что такое информационная безопасность?

Опишите схему взаимодействия локальной сети предприятия и удалённых пользователей при отсутствии брандмауэров. Укажите возможные места нарушения информационной безопасности.

Что такое угрозы информационной безопасности? Опишите классификацию угроз.

Что такое уязвимость? Приведите примеры.

Что такое атака. Каковы последствия успешной реализации атаки?

Что такое политика безопасности? Каковы её составные части?

Что такое вторжение? Каковы его цели?

Почему пара "логин и пароль" не считается достаточно надёжной. При каких условиях она всё-таки обеспечивает достаточную защиту?

Какие мероприятия повышают надёжность пароля и его заменяющих систем?

Поясните приём "шифрование пароля после ввода его пользователем".

Поясните алгоритм "соли".

Поясните одноразовые пароли, систему "оклик – отзыв".

Поясните аутентификация пользователя с помощью объекта.

Поясните аутентификация пользователя по биометрическим данным.

Поясните схему взаимодействия локальной сети предприятия с удалёнными и внутренними пользователями при наличии брандмауэеров.

Каковы функции идеального брандмауэра.

Поясните классификацию брандмауэров по исполнению.

Поясните работу брандмауэров на пакетном уровне.

Поясните работу брандмауэров на прикладном уровне.

Поясните работу брандмауэров на сеансовом и экспертном уровнях.

Каковы недостатки брандмауэров? Какие программные средства усиливают защиту информации брандмауэрами?

Что такое системные службы? Почему необходимо отключать ненужные системные службы? Как это сделать?

Что такое спам и как от него можно защититься?

Поясните роль минимизации программного кода с точки зрения защиты от вредоносных программ.

Почему отказ от активного содержимого повышает защищённость операционной системы от вредоносных программ?

Повысит чёткое разграничение программных модулей по применению привилегированного и непривилегированного режима ли защищённость компьютерной системы от вредоносных программ? Почему?

Каким образом можно построить управляемую пользователем защиту от перезаписи BIOS и от записи отделов разделов жёсткого диска? Что даст такая защита? Используется ли она в настоящее время?