- •Пояснительная записка
- •Конспект лекций по дисциплине «Информационная безопасность» Лекция 1-2 «Роль и место знаний по дисциплине в сфере профессиональной деятельности»
- •Лекция 2-3 «Понятие информационной безопасности» Уровни зрелости соиб организации
- •Законодательная, нормативно-правовая и научная база
- •Структура и задачи органов (подразделений), обеспечивающих безопасность ит
- •Программно-технические способы и средства обеспечения информационной безопасности
- •Средства защиты от несанкционированного доступа (нсд)
- •Криптографические средства
- •Лекция 5-6 «Наиболее распространенные угрозы»
- •Лекция 7-8 «Оценочные стандарты и технические спецификации»
- •"Оранжевая книга" как оценочный стандарт
- •Лекция 9-10 «Рекомендации х.800»
- •Лекция 11-12 «Стандарт iso/ise 15408. Критерии безопасности информационных технологий»
- •Часть 1. Введение и общая модель.
- •Часть 2. Функциональные требования безопасности.
- •Часть 3. Гарантийные требования безопасности (вариант перевода - "требования гарантированности").
- •Требования общих критериев и результаты оценки
- •Лекция 13-14 «Обзор российского законодательства в области информационной безопасности»
- •Виды угроз информационной безопасности Российской Федерации
- •Лекция 15-16 «Обзор зарубежных законодательных актов»
- •Лекция 17-18 «Основные понятия. Политика безопасности»
- •Лекция 19-20 «Программа безопасности»
- •Лекция 21-22 «Управление рисками» Основные принципы управления рисками информационной безопасности
- •Лекция 23-24 «Основные понятия. Классы мер процедурного уровня»
- •Лекция 25-26 «Поддержание работоспособности информационных систем»
- •Требования к системе резервного копирования
- •Виды резервного копирования
- •Лекция 27-28 «Планирование восстановительных работ»
- •Лекция 29-30 «Основные понятия программно-технического уровня информационной безопасности»
- •Лекция 31-32 «Архитектурная безопасность»
- •Сервисы безопасности: Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Контроль защищенности
- •Лекция 33-34 «Идентификация и аутентификация. Управление доступом»
- •1. Основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации – пароля.
- •2. Основанные на использовании уникального предмета: жетона, электронной карточки и др.
- •3. Основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутах живого организма.
- •4. Основанные на информации, ассоциированной с пользователем, например, с его координатами.
- •Лекция 35-36 «Протоколирование и аудит, шифрование, управление доступом»
- •Лекция 37-38 «Обзор антивирусных и иных защитных программ» Принципы работы антивирусных программ Общие сведения
- •Сигнатурный поиск
- •Эвристический анализ
- •Детектирование аномального поведения
- •Шифрование методом замены (подстановки)
- •Одноалфавитная подстановка
- •Многоалфавитная одноконтурная обыкновенная подстановка
- •Многоалфавитная одноконтурная монофоническая подстановка
- •Практическое занятие 2 (лекция 41-42) «Шифрование файлов»
- •Простая перестановка
- •Перестановка, усложненная по таблице
- •Практическое занятие 3, 4 (лекция 43-44) «Работа с антивирусным программным обеспечением. Архивация файлов» Архиватор WinZip
- •Архиватор WinRar
- •Практическое занятие 5 (лекция 45-46) «Настройка параметров безопасности пк»
Лекция 37-38 «Обзор антивирусных и иных защитных программ» Принципы работы антивирусных программ Общие сведения
Защита от вредоносного программного обеспечения бывает разная. Часть антивирусных программ работает в фоновом режиме и проверяет все запускаемые на компьютере программы; часть сканирует лежащие на диске файлы только когда их специально запустит пользователь, а некоторые из антивирусов работают на серверах и фильтруют трафик. Есть даже такая антивирусная защита, которую именуют аппаратной - правда, так говорить не совсем корректно, поскольку проверку потока данных на вирусы всё равно осуществляет программа, пусть и сидящая в "мозгах" какого-то отдельного периферийного устройства.
Тем не менее, несмотря на кажущееся обилие антивирусных программ, все они построены на одних и тех же принципах. Хотя, конечно, время от времени какой-нибудь из производителей антивирусного ПО и бьёт себя кулаком в грудь по поводу изобретения "революционной технологии", большая часть этих "революций" - просто модернизация уже существующих идей, повышающая качество фильтрации или производительность антивируса.
Основные три метода - это сигнатурный поиск, эвристический анализ и детектирование аномального поведения программы. Практически все остальные методы антивирусной защиты основываются на этих способах работы.
Сигнатурный поиск
Исторически самым первым из методов появился сигнатурный поиск. В те славные годы, когда вирусы были простыми и глупыми, антивирусы и сами были не лучше. Поэтому вся их работа сводилась к тому, что они открывали файл, просматривали его содержимое, и, если там встречался кусок, идентичный тому, который в базе данных антивируса значился как вирусный код, то этот кусок нещадно вырезался, а то и удалялся весь файл.
Кусок кода, который идентифицировал вирус, назвали сигнатурой, что впоследствии дало название и всему методу. Сигнатурой может служить не весь программный код вируса, а только какой-то его небольшой кусок, содержащий уникальную для данного вируса последовательность байтов. База сигнатур обычно у каждого антивируса своя, и никакие другие антивирусы в неё залезть не могут. Хотя есть и свободные сигнатурные базы, например, та, которую обновляют и пополняют разработчики свободного антивирусного пакета Clam Antivirus. И хотя всё выглядело очень хорошо, вскоре простое сравнение с эталоном стало для антивирусов невозможным, поскольку изменилось поведение самих вирусов. Они со временем стали полиморфными - то есть, тело вируса в каждом новом файле могло отличаться от тела этого же вируса в предыдущем. Так что антивирус уже не мог стопроцентно полагаться на свою базу данных, которой его снабдили разработчики. Это послужило толчком развитию новых методов, которые стали использоваться в новых поколениях антивирусных программ.
Сигнатурный поиск, тем не менее, вовсе себя не изжил. До сих пор обновление баз антивирусов обусловлено именно активным использованием данного метода обнаружения вредоносных программ. Тем не менее, для самих разработчиков антивирусов он довольно невыгоден с экономической точки зрения, поскольку требует тщательного и своевременного создания сигнатурных баз. А это такой процесс, который должны выполнять грамотные и довольно высоко оплачиваемые специалисты, поскольку компьютерной программе пока поручить его не представляется возможным. Хотя такое неудобство хоть и немного, но всё же искупается преимуществами: сигнатурный поиск даёт меньше ложных обнаружений, он довольно скор, и реализация его, с точки зрения программиста, проще, чем остальных методов, к разговору о которых мы прямо сейчас и перейдём.