- •Необходимость защиты информации
- •Компьютерные вирусы
- •Проявления компьютерных вирусов.
- •Классификация компьютерных вирусов
- •Методы защиты от компьютерных вирусов
- •7.4. Программы борьбы с компьютерными вирусами
- •7Защита от несанкционированного доступа • j« к информации
- •7.6. Использование криптографии1
- •1 По материалам [5].
- •Интернет - это объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных.
Методы защиты от компьютерных вирусов
Для решения задач антивирусной зашиты должен быть реализован комплекс известных и хорошо отработанных организационно- технических мероприятий:
использование сертифицированного программного обеспечения;
организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию;
ограничение пользователей системы на ввод программ и данных с посторонних носителей информации — отключение пользовательских дисководов для магнитных и оптических носителей информации. Особенно эффективным это становится при переходе на технологию электронного документооборота;
запрет на использование инст рументальных средств для создания программ в самой системе;
резервное копирование рабочего программного обеспечения и данных. Для критических систем рекомендуется циклическая схема тройного копирования данных, когда рабочая копия файла хранится на диске рабочей станции, одна архивная копия в защищенной области на сервере и еще одна архивная копия на съемном носителе информации. При этом периодичность и порядок обновления архивных копий регламентируются специальной инструкцией;
подготовка администраторов безопасности и пользователей по вопросам антивирусной защиты. Низкая квалификация администраторов безопасности и пользователей по вопросам антивирусной защиты приводит к ошибочным действиям при настройке системы и в случае возникновения нештатных ситуаций.
7.4. Программы борьбы с компьютерными вирусами
Параллельно с общими средствами защиты информации применяются специализированные антивирусные программы, которые можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммуниза- торы).
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов, на основе специфической комбинации байтов и выводить сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.
Программы-ревизоры (ADINF с лечащим модулем Adinf Cure Module, лаборатория Касперского) сначала запоминают сведения о состоянии незараженных программ и системных областей и могут в любой момент сравнить это состояние с исходным. О выявленных несоответствиях сообщается пользователю. Чтобы проверка состояния проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.
Существуют полезные гибриды ревизоров и докторов, т. е. доктора-ревизоры (Adinf-Adinfxt, AVSP), — программы, которые moi ут обнаружить изменения в файлах и системных областях дисков и автоматически вернуть их в исходное состояние. Гакие программы более универсальны, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им лечить даже от новых вирусов, но лишь от тех, которые используют «стандартные» механизмы заражения файлов.
Программы-фильтры (антивирусный монитор-D, FluShol Plus) располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Использование фильтров вызывает замедление работы, однако позволяет обнаружить многие вирусы на самой ранней стадии и свести убытки от их действий к минимуму.
Программы-вакцины, или иммунизаторы, модифицируют программы и диски без изменения их принципов работы, но вирус, от которого производится вакцинация, считает их уже зараженными и обходит стороной. Эти программы иногда эффективны.
Рассмотренные мероприятия являются стандартными для рабочих станций. Вероятность вирусной атаки значительно возрастает при объединении компьютеров в сеть и становится неизбежной при подключении к информационно-вычислительным сетям общего пользования.
Компьютерные сети имеют архитектурные особенности, которые оказывают влияние на уязвимость компьютерных систем при воздействии программных вирусов:
поддержка различных сетевых информационных услуг и удаленных пользователей:
значительный объем обмена информацией между компьютерами;
наличие различных платформ и протоколов взаимодействия;
сложная конфигурация систем с большим количеством разнотипных узлов сети;
использование информационных ресурсов публичных компьютерных сетей.
Организация антивирусной защиты — сложная техническая и административная задача, требующая выработки политики антивирусной безопасности.
Полноту покрытия вирусного пространства проверяют в ходе тестовых испытаний, используя для этого коллекции вирусов, куда входят: набор примерно из 400 «живых» вирусов, встречающихся на практике в настоящее время; макровирусы, поражающие документы офисных приложений; полиморфные вирусы, меняющие свой код при генерации каждой новой копии; стандартные вирусы.
Периодически проводимые специализированными организациями испытания наиболее популярных антивирусных средств показывают, что они способны обнаруживать до 99,8% известных вирусов.