- •1.История вопроса
- •1. Лекция: История вопроса
- •Первые вирусы
- •Первые вирусные эпидемии
- •Заключение
- •2. Лекция: Теоретические сведения о компьютерных вирусах Введение
- •Результат Фреда Коэна
- •Результат д. Чесса и с. Вайта Основные положения
- •Обнаружение вирусов
- •Слабое определение обнаружения
- •Сравнение с результатом ф. Коэна
- •Практические следствия
- •Формализм ф. Лейтольда
- •Вычислительные модели Вычислительная машина с произвольной выборкой
- •Вычислительная машина с хранением программ в памяти с произвольной выборкой
- •Машина Тьюринга
- •Raspm с присоединенным вспомогательным хранилищем
- •Моделирование операционных систем
- •Вирусы в raspm с abs
- •Способы размножения вирусов
- •Олигоморфные и полиморфные вирусы
- •Проблема обнаружения вирусов
- •Общая проблема обнаружения вирусов
- •Оценка сложности сигнатурного метода
- •Результат Леонарда Адельмана
- •Принятые обозначения
- •Классификация вирусов
- •Обнаружение компьютерных вирусов
- •Заключение
- •3. Лекция: Классификация вирусов Общие сведения
- •Практическое определение вируса
- •Жизненный цикл
- •Проникновение
- •Активация
- •Поиск жертв
- •Подготовка вирусных копий
- •Внедрение
- •Жизненный цикл
- •Каналы распространения
- •Способы активации
- •Поиск "жертв"
- •Подготовка копий для распространения
- •Жизненный цикл
- •Способы проникновения
- •Активация
- •Выполняемые функции
- •Ущерб от вредоносных программ
- •Угрозы безопасности информации
- •Угроза нарушения конфиденциальности
- •Угроза нарушения целостности
- •Угроза нарушения доступности
- •Заключение
- •4. Лекция: Что такое антивирусы
- •Технологии обнаружения вирусов
- •Режимы работы антивирусов
- •Антивирусный комплекс
- •Антивирусный комплекс для защиты рабочих станций
- •Антивирусный комплекс для защиты файловых серверов
- •Антивирусный комплекс для защиты почтовых систем
- •Антивирусный комплекс для защиты шлюзов
- •Комплексная система защиты информации
- •Организационные меры
- •Правовые меры
- •Глава 28 ук рф содержит следующие статьи, относящиеся к компьютерным вирусам:
- •Программные средства
- •Этапность работ
- •Выбор антивирусных комплексов
- •Преимущества и недостатки одновендорных систем Преимущества
- •Недостатки
- •Преимущества и недостатки мультивендорных систем
- •Преимущества
- •Недостатки
- •5. Лекция: Защита шлюзов Общие сведения
- •Возможные схемы защиты
- •Универсальные антивирусы для шлюзов
- •Проверка протоколов Интернет
- •Проверка почты smtp
- •Антивирусы для шлюзов, основанные на интеграции
- •Антивирусы для Microsoft isa Server
- •Антивирусы для CheckPoint Firewall
- •Другие реализации
- •Требования к антивирусам для шлюзов
- •Угрозы и методы защиты от них Особенности архитектуры
- •Предотвращаемые угрозы
- •Эксплуатационные характеристики
- •Управление
- •Обновление
- •Диагностика
- •Производительность
- •Заключение
- •6. Лабораторная работа: Антивирус Касперского для Microsoft isa Server. Установка, настройка, управление
- •Методические указания к лабораторной работе
- •Состав приложения
- •Поддерживаемые операционные системы
- •Установка
- •Результат установки
- •Принципы работы
- •Управление группами клиентов
- •Внедрение политик антивирусной проверки
- •Настройка диагностики работы приложения
- •Обновление антивирусных баз
- •Настройка уведомлений пользователей
- •Сбор и просмотр статистической информации
- •Уведомление администратора посредством isa Server Alerts
- •Управление лицензионными ключами
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •7. Лекция: Защита почтовых систем Общие сведения
- •Возможные схемы защиты
- •Требования к антивирусному комплексу для проверки почтового потока
- •Требования к управлению
- •Требования к диагностике
- •Заключение
- •Unix-системы
- •Методические указания к лабораторной работе
- •Состав и принцип работы
- •Архитектура Сервера безопасности
- •Поддерживаемые операционные системы
- •Заключение
- •8. Лабораторная работа: Антивирус Касперского 5.5 для ms Exchange Server. Установка, настройка, управление
- •Методические указания к лабораторной работе
- •Состав и принцип работы
- •Архитектура Сервера безопасности
- •Поддерживаемые операционные системы
- •Установка
- •Результаты установки
- •Принципы работы Производительность антивирусной защиты
- •Фоновая проверка
- •Уровни защиты
- •Настройка диагностики работы приложения
- •Обновления антивирусных баз. Источники обновлений
- •Работа с инфицированными и подозрительными объектами
- •Уведомления
- •Контроль вирусной активности
- •Отчеты об антивирусной проверке
- •Задание
- •9. Лекция: Защита серверов и рабочих станций
- •Структура уровня
- •Защита рабочих станций Классы рабочих станций
- •Специфические угрозы и технологии противодействия
- •Рабочие станции Windows
- •Файловая система
- •Интернет
- •Рабочие станции под управлением других ос
- •Эксплуатационные требования и соответствующие им решения
- •Обновление
- •Управление
- •Диагностика
- •Надежность
- •Защита от вредоносного кода
- •Защита от действий пользователя
- •Недопущение потери данных
- •Производительность
- •Требования к антивирусам для рабочих станций
- •Требования к антивирусам для рабочих станций Windows
- •Требования к управлению
- •Требования к обновлению
- •Требования к диагностике
- •Требования к антивирусам для рабочих станций Linux/Unix
- •Требования к управлению
- •Требования к диагностике
- •Защита серверов
- •Специфические угрозы и способы противодействия
- •Сервера Microsoft Windows
- •Сервера Novell Netware
- •Сервера Unix
- •Эксплуатационные требования и характеристики
- •Управление
- •Обновление
- •Диагностика
- •Надежность
- •Производительность
- •Требование к антивирусам для серверов
- •Основные требования
- •Требования к управлению
- •Требования к обновлению
- •Требования к диагностике
- •Требования к производительности
- •Система администрирования
- •Цели и задачи
- •Структура системы администрирования
- •Основные требования к системе администрирования
- •Подсистема управления
- •Подсистема обновления
- •Подсистема диагностики
- •Средства внедрения
- •Заключение
- •10. Лабораторная работа: Антивирус Касперского 6.0 для Windows Workstations. Локальная установка и управление
- •Методические указания к лабораторной работе
- •Установка
- •Результат установки
- •Принципы работы программы
- •Компоненты
- •Системные задачи проверки по требованию (5 задач)
- •Системные задачи обновления
- •Пользовательские задачи
- •Проверка по требованию
- •Файловый антивирус
- •Почтовый антивирус
- •Проактивная защита
- •Анти-Шпион
- •Анти-Хакер
- •Анти-Спам
- •Технологии iChecker(tm) и iSwift(tm)
- •Обновления сигнатур угроз и модулей приложения
- •Источник обновлений
- •Обновляемые компоненты
- •Откат обновления антивирусных баз
- •Работа с инфицированными и подозрительными объектами
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •11. Лабораторная работа: Kaspersky Administration Kit. Развертывание системы управления антивирусными средствами Лаборатории Касперского
- •Методические указания к лабораторной работе
- •Состав и структурная схема
- •Установка Сервера администрирования
- •Подключение к Серверу Администрирования
- •Разграничение полномочий администраторов
- •Первое подключение к Серверу администрирования
- •Выбор способа формирования логической сети
- •Логическая сеть
- •Структура логической сети, объекты управления
- •Контейнеры узла Сервера администрирования
- •Структура контейнера Сеть
- •Процедура добавления группы
- •Добавление нового инсталляционного пакета
- •Выбор лицензионного ключа
- •Создание задачи удаленной установки
- •Выбор метода установки
- •Выбор учетной записи
- •Создание задачи проверки по требованию
- •Выбор настроек проверки по требованию
- •Выполнение задачи проверки по требованию
- •Создание задачи получения обновлений Сервером администрирования
- •Задача обновления клиентов
- •Контейнер Обновления
- •Автоматическое проталкивание обновлений антивирусных баз
- •Смена Сервера администрирования
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •12. Лабораторная работа: Kaspersky Administration Kit. Особенности работы с иерархической структурой Серверов администрирования
- •Методические указания к лабораторной работе
- •Узел Сервера администрирования
- •Добавление подчиненного Сервера администрирования
- •Политики Антивируса Касперского
- •Влияние политики на настройки клиентов
- •Влияние политик на глобальные и групповые задачи
- •Наследование политик
- •Создание политик
- •Настройка уровня защиты для задач постоянной защиты объектов
- •Иерархическое действие групповых задач
- •Получение сведений о лицензионных ключах
- •Установка лицензионного ключа
- •Резервное копирование базы Сервера администрирования
- •Синтаксис утилиты
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •13. Лабораторная работа: Основные признаки присутствия вредоносных программ и методы по устранению последствий вирусных заражений
- •Методические указания к лабораторной работе
- •Сетевые черви
- •Жизненный цикл вредоносных программ
- •Основные пути проникновения в систему и активации
- •Устранение последствий заражения
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
Ущерб от вредоносных программ
Черви и вирусы могут осуществлять все те же действия, что и трояны (см.предыдущий пункт). На уровне реализации это могут быть как отдельные троянские компоненты, так и встроенные функции. Кроме этого, за счет массовости, для вирусов и червей характерны также другие формы вредоносных действий:
Перегрузка каналов связи — свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по Интернет-каналам передаются огромные количества запросов, зараженных писем или непосредственно копий червя. В ряде случаев, пользование услугами Интернет во время эпидемии становится затруднительным. Примеры: Net-Worm.Win32.Slammer
DDoS атаки — благодаря массовости, черви могут эффективно использоваться для реализации распределенных атак на отказ в обслуживании (DDoS атак). В разгар эпидемии, когда зараженными являются миллионы и даже десятки миллионов компьютеров, обращение всех инфицированных систем к определенному Интернет ресурсу приводит к полному блокированию этого ресурса. Так, во время атаки червя MyDoom сайт компании SCO был недоступен в течение месяца. Примеры: Net-Worm.Win32.CodeRed.a - не совсем удачная атака на www.whitehouse.gov, Email-Worm.Win32.Mydoom.a - удачная атака на www.sco.com
Потеря данных — более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя. Примеры: Virus.Win9x.CIH - удаление стартовых секторов дисков и содержимого Flash BIOS, Macro.Word97.Thus - удаление всех файлов на диске C:, Email-Worm.Win32.Mydoom.e - удаление файлов с определенными расширениями в зависимости от показателя счетчика случайных чисел
Нарушение работы ПО — также более свойственная вирусам черта. Из-за ошибок в коде вируса, зараженные приложения могут работать с ошибками или не работать вовсе. Примеры: Net-Worm.Win32.Sasser.a - перезагрузка зараженного компьютера
Загрузка ресурсов компьютера — интенсивное использование ресурсов компьютера вредоносными программами ведет к снижению производительности как системы в целом, так и отдельных приложений. Примеры: в разной степени - любые вредоносные программы
Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.
Угрозы безопасности информации
Рассмотрим угрозы безопасности информации с точки зрения вирусов. Учитывая тот факт, что общее число вирусов по состоянию на сегодня превосходит 100000, проанализировать угрозы со стороны каждого из них является слишком трудоемкой и бесполезной задачей, поскольку ежедневно возрастает количество вирусов, а значит, необходимо ежедневно модифицировать полученный список. В этой работе мы будем считать, что вирус способен реализовать любую из угроз безопасности информации.
Существует множество способов классификации угроз безопасности информации, которая обрабатывается в автоматизированной системе. Наиболее часто используется классификация угроз по результату их влияния на информацию, а именно - нарушение конфиденциальности, целостности и доступности.
Для каждой угрозы существует несколько способов ее реализации со стороны вирусов.