- •Информатционные технологии в менеджменте
- •Юнита 3
- •Оглавление
- •Дидактический план
- •Литература Основная
- •Дополнительная
- •Введение
- •1. Основные понятия о локальных и глобальных сетях
- •1.1. Предпосылки создания компьютерных сетей
- •1.2. Понятие компьютерных сетей
- •1.3. Общие принципы организации и функционирования компьютерных сетей
- •1.4. Телекоммуникационные системы в сетях
- •1.5. Архитектура открытых систем
- •1.6. Протоколы передачи данных
- •Работа протоколов
- •1.7. Каналы связи
- •1.7.1. Типы кабелей
- •1.7.2. Беспроводная среда
- •1.7.3. Технологии передачи данных в беспроводных сетях
- •1.8. Классификация компьютерных сетей
- •2. Локальные сети
- •2.1. Основные понятия локальных сетей
- •2.2. Цели создания и преимущества использования локальных компьютерных сетей
- •2.3. Особенности организации локальных сетей
- •2.3.1. Одноранговая сеть
- •2.3.2. Сеть с выделенным сервером
- •2.4. Топология локальных сетей
- •2.4.1. Топология "Кольцо"
- •2.4.2. Топология "Шина"
- •2.4.3. Топология "Звезда"
- •2.4.4. Выбор топологии
- •2.5. Методы доступа и протоколы передачи данных в локальных сетях
- •2.6. Программное обеспечение локальных сетей
- •2.7. Роль и функции администратора локальных сетей
- •2.8. Объединение лвс
- •Сетевое оборудование, используемое для объединения лвс
- •3. Глобальные сети. Интернет
- •3.1. Общие сведения о глобальных сетях
- •3.2. Краткая история развития Интернета
- •3.3. Структура и принципы работы сети Интернет
- •3.4. Способы доступа к Интернету
- •3.5. Адресация в Интернете
- •3.6. Информационные сервисы Интернет
- •Электронная почта
- •Сервис ftp (Протокол передачи файлов)
- •Телеконференции
- •Сервис Telnet
- •Электронная коммерция
- •4. Работа с информацией в компьютерных сетях
- •4.1. Программы просмотра (браузеры или обозреватели)
- •Навигационные кнопки
- •Адресная строка
- •Просмотр страницы
- •Настройка отображения страницы
- •Установка домашней страницы
- •Сохранение информации
- •Папка Избранное
- •Проблемы кодировки
- •4.2. Информационно-поисковые системы
- •Поисковые системы
- •Каталоги Интернет-ресурсов
- •Эффективный поиск
- •Глобальные поисковые системы и каталоги
- •Метапоисковые системы
- •Поиск программ и других файлов
- •Источники специализированной информации
- •4.3. Вирусы в многопользовательских системах
- •4.4. Антивирусные средства защиты информации
- •4.5. Средства защиты информации от несанкционированного доступа
- •5. Автоматизированные информационные системы (аис)
- •5.1. Понятие аис
- •5.2. Структура аис
- •5.3. Классификация аис Классификация аис по функциональному признаку
- •Классификация аис по характеру использования информации
- •Классификация аис по сфере применения
- •I тренинг компетенций
- •1 Алгоритм формирования компетенций
- •2 Формирование компетенций
- •II задания по формированию компетенций
- •Информационные технологии в менеджменте юнита 3
4.4. Антивирусные средства защиты информации
Для защиты от вирусов можно использовать:
общие средства защиты информации, которые полезны так же, как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.
Имеются две основные разновидности общих средств защиты информации, обеспечивающие:
копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа, которое предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Для обнаружения, удаления компьютерных вирусов и защиты от них разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
программы-детекторы;
программы-доктора или фаги;
программы-ревизоры;
программы-фильтры;
программы-вакцины, или иммунизаторы.
Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и файлах, и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большего количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
В основе работы полифагов стоит простой принцип - поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура - это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе.
Первоначально антивирусы-полифаги работали по очень простому принципу - осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде, чем начать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии. Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.
В настоящее время вирусные программы значительно усложнились. Например, появились так называемые "stealth-вирусы". В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.
В случае, если с диска читается зараженная программа, вирус "выкусывает" собственный код (обычно код не буквально "выкусывается", а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения "чистый" код. Таким образом, до тех пор, пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, и обнаружить его простым чтением диска средствами операционной системы невозможно.
Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100%-ной точностью будет обнаружен и удален из памяти компьютера, а потом - и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом - как можно чаще обновлять версии программы и вирусные базы.
Особняком тут стоят так называемые эвристические анализаторы. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. С помощью эвристических анализаторов антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 50%.
Эвристическим анализатором кода называется набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем компьютерных вирусов различных типов. Основной частью эвристического анализатора является эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача - не выполнять код, а выявлять в нем все возможные события, т.е. совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами, или обнаруживать часто используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.
Конечно, вероятность как пропуска, так и ложного срабатывания весьма высока. Однако, правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении системы вирусом с вероятностью, близкой к 100%. Наиболее мощным эвристическим анализатором в настоящее время является антивирус Dr.Web.
Программы-ревизоры. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают stealth-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится программа Adinf.
Программы-фильтры, или "сторожа", представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
попытки коррекции файлов с расширениями СОМ, ЕХЕ;
изменение атрибутов файла;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы и т.п.
При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.
Вакцины, или иммунизаторы, - резидентные программы, предотвращающие заражение файлов, модифицирующие программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" от вируса. Вакцинация возможна только от известных вирусов. В настоящее время программы-вакцины имеют ограниченное применение.