Основные методы применения антивирусных средств защиты информации. Защита информации. Антивирусные программы. Основные функции файервола

Одним из новых факторов, резко повысивших уязвимость данных, хранящихся в компьютерных системах, является массовое производство программно-совместимых персональных компьютеров, которое можно назвать одной из причин появления нового класса программ вандалов - компьютерных вирусов.

Компьютерный вирус - это специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в системные файлы, файлы других программ, вычислительные файлы в целях нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе персонального компьютера. На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100- 150 новых штаммов ежемесячно.

Учитывая алгоритмы работы и способы воздействия вирусов на программное обеспечение, их можно условно классифицировать по следующим признакам.

По среде обитания:

• файловые вирусы, поражающие исполняемые файлы, т. е. файлы с расширением.com, .exe, sys, .bat;
• вирусы, поражающие загрузочные секторы;
• сетевые, распространяющиеся по компьютерным сетям;
• драйверные, поражающие драйвера устройств.

По особенностям алгоритма:

По способу заражения:

• резидентный вирус - при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;
• нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По деструктивным особенностям:

• неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
• опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
• очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Каким бы ни был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов:

• общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя. К ним относится копирование информации - создание копий файлов и системных областей дисков и разграничение доступа;
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом: работа с дискетами, защищенными от записи, минимизация периодов доступности дискетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся ранее программ, хранение программ на «винчестере» в архивированном виде;
• организационные меры, состоящие в обучении персонала; обеспечение физической безопасности компьютера и магнитных носителей; создание и отработка плана восстановления «винчестера» и др;
• специализированные программы для защиты от вирусов.

Поскольку использование антивирусных программ является основным средством защиты информации от компьютерных вирусов, то данный вопрос рассмотрим более подробно.

Выделяют следующие виды антивирусных программ: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Некоторые программы-детекторы, например Norton Antivirus или AVSP фирмы «Диалог-МГУ», могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Большинство программ-детекторов имеют функцию «доктора», т. е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллектуальными» - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла autoexec.bat, надеясь работать на «чистом» компьютере, и т. д. Увы, против некоторых «хитрых» вирусов все это бесполезно.

В последнее время появились очень полезные гибриды ревизоров и докторов, т. е. Доктора-ревизоры - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Существуют также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

В настоящее время разделение антивирусных программ на виды не является жестким, многие антивирусные программы совмещают различные функции. Производители антивирусных программ начали создавать не просто программы антивирусы, а комплексные средства для борьбы с вирусами. Одна из наиболее популярных и наиболее универсальных антивирусных программ - DoctorWeb, антивирус Касперского Personal Pro, Norton Antivirus Professional Edition. Это универсальные и перспективные антивирусные программы, сочетающие функции антивирусного сканера, резидентного сторожа и доктора.

В качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера.

ИНФОРМАТИКА

Защита информации, антивирусная защита.

(1 час: лекция)

Антивирусные средства защиты.

Количество людей, пользующихся компьютером и сотовым телефоном, имеющим выход в Интернет, постоянно растет. Значит, возрастает возможность обмена данными между ними по электронной почте и через Всемирную сеть. Это приводит к росту угрозы заражения компьютера вирусами, а также порчи или хищения информации чужими вредоносными программами, ведь основными источниками распространения вредоносных программ являются электронная почта и Интернет. Правда, заражение может также произойти через дискету или CD-диск.

Компьютерный вирус - это целенаправленно созданная программа, автоматически приписывающая себя к другим программным продуктам, изменяющая или уничтожающая их. Компьютерные вирусы могут заразить компьютерные программы, привести к потере данных и даже вывести компьютер из строя.

Компьютерные вирусы могут распространяться и проникать в операционную и файловую систему ПК только через внешние магнитные носители (жесткий и гибкий диски, компакт-диски) и через средства межкомпьютерной коммуникации.

Вредоносные программы можно разделить на три класса: черви, вирусы и троянские программы .

Черви - это класс вредоносных программ, использующих для распространения сетевые ресурсы. Используют сети, электронную почту и другие информационные каналы для заражения компьютеров.

Вирусы - это программы, которые заражают другие программы - добавляют в них свой код, чтобы получить управление при запуске зараженных файлов.

Троянские программы - программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к зависанию, воруют конфиденциальную информацию и т.д.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ.

Загрузочные вирусы внедряются в загрузочный сектор диска или сектор, содержащий программу загрузки системного диска.

Файлово-загрузочные вирусы заражают файлы и загрузочные сектора дисков.

По способу заражения вирусы разделяются на резидентные и нерезидентные .

Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.д.) и внедряется в них.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия выделяют неопасные вирусы, которые не мешают работе компьютера, опасные , которые могут привести к различным нарушениям в работе компьютера, и очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными .

Различают следующие виды антивирусных программ:

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и файлах и при обнаружении выдают соответствующие сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или флаги не только находят зараженные вирусами файлы, но и возвращают файлы в исходное состояние. В начале своей работы флаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов.

Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаружение изменения выводится на экран монитора.

Программы-фильтры или сторожа , представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов:

попытка коррекции файлов с расширениями СОМ и ЕХЕ;

изменение атрибутов файла;

прямая запись на диск по абсолютному адресу;

При попытке вирусной атаки сторож посылает сообщение и предлагает запретить или разрешить соответствующие действия.

Программы - вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов.

Признаки заражения компьютера вирусом. Существует ряд признаков, свидетельствующих о заражении компьютера:

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

неожиданное открытие и закрытие лотка CD-ROM-устройства;

произвольный, без вашего участия, запуск на компьютере каких-либо программ;

вывод на экран предупреждения о попытке какой-либо из программ вашего компьютера выйти в Интернет, хотя вы никак не инициировали такое ее поведение (при наличии установленной на вашем компьютере соответствующей антивирусной программы).

Однако не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Существуют и косвенные признаки заражения вашего компьютера:

частые зависания и сбои в работе компьютера;

медленная работа компьютера при запуске программ;

невозможность загрузки операционной системы;

исчезновение файлов и каталогов или искажение их содержимого;

частое обращение к жесткому диску, когда часто мигает лампочка на системном блоке;

Microsoft Internet Explorer зависает или ведет себя неожиданным образом, например окно программы невозможно закрыть.

В 90 % случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на это при их появлении рекомендуем провести полную проверку компьютера на наличие вирусов.

Если вы заметили, что ваш компьютер ведет себя подозрительно, придерживайтесь следующих правил.

Не паникуйте!

Отключите компьютер от Интернета.

Отключите компьютер от локальной сети, если он к ней был подключен.

Если симптом заражения заключается в том, что вы не можете загрузиться с жесткого диска компьютера, т. е. компьютер выдает ошибку, когда вы его включаете, попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows.

Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы, записав их на внешний носитель (дискету, CD-диск, флэш-карту).

Установите антивирусную программу, если вы этого еще не сделали.

Получите последние обновления антивирусных баз.

Установите необходимые настройки антивирусной программы и запустите полную проверку.

Предварительный просмотр:

Чтобы пользоваться предварительным просмотром презентаций создайте себе аккаунт (учетную запись) Google и войдите в него: https://accounts.google.com

Подписи к слайдам:

Защита информации, антивирусная защита

Компьютерный вирус - это целенаправленно созданная программа, автоматически приписывающая себя к другим программным продуктам, изменяющая или уничтожающая их. Компьютерные вирусы могут заразить компьютерные программы, привести к потере данных и даже вывести компьютер из строя. Компьютерные вирусы могут распространяться и проникать в операционную и файловую систему ПК только через внешние магнитные носители (жесткий и гибкий диски, компакт-диски) и через средства межкомпьютерной коммуникации.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютер­ным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Загрузочные вирусы внедряются в загрузочный сектор диска или сектор, содержащий программу загрузки сис­темного диска. Файлово - загрузочные вирусы заражают файлы и загрузочные сектора дисков. Классы вредоносных программ

По способу заражения вирусы разделяются на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам зараже­ния (файлам, загрузочным секторам дисков и т.д.) и внедряется в них. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Классы вредоносных программ

По степени воздействия выделяют: неопасные вирусы, которые не мешают работе компьютера, опасные, которые могут привести к различным нарушениям в работе компьютера, очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска. Классы вредоносных программ

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

1. Программы-детекторы осуществляют поиск характерной для конкретного вируса сиг­натуры в оперативной памяти и файлах и при обнаружении выдают соответствующие сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. 2. Программы-доктора или фаги не только находят зараженные вирусами файлы, но и возвращают файлы в исходное состояние. В начале своей работы флаги ищут вирусы в оперативной памя­ти, уничтожая их, и только затем переходят к «лечению» файлов. Виды антивирусных программ

3. Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаружение изменения выводится на экран монитора. 4. Программы - вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Виды антивирусных программ

5. Программы-фильтры или сторожа, представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов: попытка коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. При попытке вирусной атаки сторож посылает сообщение и предлагает запретить или разрешить соответствующие действия. Виды антивирусных программ

Существует ряд признаков, свидетельствующих о заражении компьютера: вывод на экран непредусмотренных сообщений или изобра­жений; подача непредусмотренных звуковых сигналов; неожиданное открытие и закрытие лотка CD - ROM -устройства; произвольный, без вашего участия, запуск на компьютере каких-либо программ; вывод на экран предупреждения о попытке какой-либо из программ вашего компьютера выйти в Интернет, хотя вы никак не инициировали такое ее поведение (при наличии установленной на вашем компьютере соответствующей антивирусной программы). Признаки заражения вирусом

Признаки заражения вирусом Существуют и косвенные признаки заражения вашего компьютера: частые зависания и сбои в работе компьютера; медленная работа компьютера при запуске программ; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; частое обращение к жесткому диску, когда часто мигает лампочка на системном блоке; Microsoft Internet Explorer зависает или ведет себя неожидан­ным образом, например окно программы невозможно закрыть.

Для борьбы с программами вирусами широко используются антивирусные программы. Рассмотрим основные классы антивирусных программ.

• Программы проверки целостности программного обеспечения.

Этот класс позволяет подсчитать контрольную сумму (названную сигнатурой) каждой программы пользователя. Перед выполнением программы расчетное значение контрольной суммы сравнивается с записанным для защищенных копий программы. Такие программы не могут препятствовать заражению, однако дают пользователю ценную информацию о зараженных или измененных программах.

• Программы контроля.

Программы этого класса используют режим прерывания работы ЭВМ. Если, по мнению автора антивирусной программы, программы замечают что-либо подозрительное, то прерывают работу ЭВМ и выдают оператору рекомендацию о дальнейших действиях.

• Программы удаления вирусов.

Такие программы проверяют наличие на магнитном диске только известных вирусов. Обнаружив вирус, они сообщают об этом оператору или удаляют вирус.

• Копии.

Копирование программ является методом защиты, однако оно не гарантирует отсутствие вирусов.

• Существуют смешанные антивирусные программы , сочетающие свойства программ перечисленных выше классов.

До настоящего времени не найдено метода, дающего полную гарантию защиты от вируса. Среди разрабатываемых перспективных методов можно отметить следующие:

• адаптивные и самообучающиеся методы;
• интеллектуальные методы;
• аппаратные методы.

Адаптивные и самообучающиеся средства – это средства, автоматически расширяющие список вирусов, которым они противостоят. К ним относятся средства, содержащие постоянно пополняемые базы вирусов.

Интеллектуальные методы – методы, базирующиеся в системах логического вывода. Их суть сводится к определению алгоритма, реализуемого программой по ее коду, и выявлению таким образом программ, осуществляющих несанкционированные действия. Это перспективный метод, но он требует огромных затрат.

Аппаратные средства – это дополнительное усиление системы защиты. Применяются в специальных приложениях, широкого распространения пока не получили, т.к. их применение ограничивает возможности системы.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом необходимо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе нужно использовать различные средства и приемы: морально-этические, законодательные, административные, психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств.

Законодательные средства защиты – это законы, постановления правительства, указы президента. Нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.

Административные меры – это действия, предпринимаемые руководством предприятия или организации для обеспечения организационной безопасности (должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере, правила приобретения предприятием средств безопасности и т.д.).

Психологические меры безопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к нарушениям защиты.

К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных "жучков", средств наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства называются службами сетевой безопасности . Круг решаемых ими задач по защите разнообразен (контроль доступа, аудит, шифрование информации, антивирусная защита, контроль сетевого трафика и т.д.). Технические средства безопасности могут быть либо встроены в программное (ОС, приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Политика информационной безопасности определяет, какую информацию и от кого следует защищать, каков может быть ущерб от успешно реализованной угрозы, какими средствами вести защиту. Специалисты, ответственные за безопасность системы, формируя политику безопасности, должны учитывать несколько базовых принципов:

• Предоставление каждому сотруднику предприятия того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей.
• Использование комплексного подхода к обеспечению безопасности. Это подразумевает использование самых разных средств безопасности, начиная с организационно- административных запретов и кончая встроенными средствами сетевой аппаратуры.
• Используя многоуровневую систему защиты, важно обеспечивать баланс надежности защиты всех уровней.
• Использование средств, которые при отказе переходят в состояние максимальной защиты . Это касается самых различных средств безопасности.
• Принцип единого контрольно-пропускного пункта – весь входящий во внутреннюю сеть и выходящий во внешнюю сеть трафик должен проходить через единственный узел сети, например через межсетевой экран. Только это позволяет в достаточной мере контролировать трафик.
• Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на 100%, т.к. является результатом компромисса между возможными рисками и возможными затратами.

При определении политики безопасности для сети, имеющей выход в Интернет, рекомендуется разделить задачу на 2-е части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресурсам внутренней сети компании.

Политика доступа к сетевым службам Интернета :

• Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
• Определение ограничений на методы доступа, например на использование протоколов SLIP и PPP.
• Принятие решения о том, разрешен ли доступ внешних пользователей из Интернета во внутреннюю сеть.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

• Запрещать все, что не разрешено в явном виде;
• Разрешать все, что не запрещено в явном виде.

Для защиты от вирусов можно использовать:

Общие средства защиты информации, которые полезны так же, как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

Профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

Специализированные программы для защиты от вирусов.

Имеются две основные разновидности общих средств защиты информации, обеспечивающие:

Копирование информации - создание копий файлов и системных областей дисков;

Разграничение доступа, которое предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Для обнаружения, удаления компьютерных вирусов и защиты от них разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

Программы-детекторы;

Программы-доктора или фаги;

Программы-ревизоры;

Программы-фильтры;

Программы-вакцины, или иммунизаторы.

Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и файлах, и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что онимогут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы воперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большего количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

В основе работы полифагов стоит простой принцип - поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура - это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе.

Первоначально антивирусы-полифаги работали по очень простому принципу - осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде, чем начать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии. Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.

В настоящее время вирусные программы значительно усложнились. Например, появились так называемые "stealth-вирусы". В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.

В случае, если с диска читается зараженная программа, вирус "выкусывает" собственный код (обычно код не буквально "выкусывается", а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения "чистый" код. Таким образом, до тех пор, пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, и обнаружить его простым чтением диска средствами операционной системы невозможно.

Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100%-ной точностью будет обнаружен и удален из памяти компьютера, а потом - и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом - как можно чаще обновлять версии программы и вирусные базы.

Особняком тут стоят так называемые эвристические анализаторы. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. С помощью эвристических анализаторов антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 50%.

Эвристическим анализатором кода называется набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем компьютерных вирусов различных типов. Основной частью эвристического анализатора является эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача - не выполнять код, а выявлять в нем все возможные события, т.е. совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами, или обнаруживать часто используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

Конечно, вероятность как пропуска, так и ложного срабатывания весьма высока. Однако, правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении системы вирусом с вероятностью, близкой к 100%. Наиболее мощным эвристическим анализатором в настоящее время является антивирус Dr.Web.

Программы-ревизоры. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают stealth-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится программа Adinf.

Программы-фильтры, или "сторожа", представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

Попытки коррекции файлов с расширениями СОМ, ЕХЕ;

Изменение атрибутов файла;

Прямая запись на диск по абсолютному адресу;

Запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины, или иммунизаторы , - резидентные программы, предотвращающие заражение файлов, модифицирующие программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" от вируса. Вакцинация возможна только от известных вирусов. В настоящее время программы-вакцины имеют ограниченное применение.

Защита информации - это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе: просмотр; копирование и подмена данных; ввод ложных программ и сообщений в результате подключения к каналам связи; чтение остатков информации на ее носителях; прием сигналов электромагнитного излучения и волнового характера; использование специальных программ.

1. Средства опознания и разграничения доступа к информации

Одним из наиболее интенсивно разрабатываемых направлений по обеспечению безопасности информации является идентификация и определение подлинности документов на основе электронной цифровой подписи.

2. Криптографический метод защиты информации

Наиболее эффективным средством повышения безопасности является криптографическое преобразование.

3. Компьютерные вирусы

Разрушение файловой структуры;

Загорание сигнальной лампочки дисковода, когда к нему нет обращения.

Основными путями заражения компьютеров вирусами обычно служат съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти в случае загрузки компьютера с дискеты, содержащей вирус.

По тому, какой вид среды обитания имеют вирусы, их классифицируют на загрузочные, файловые, системные, сетевые и файлово - загрузочные (многофункциональные).

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, который содержит программу загрузки системного диска.

Файловые вирусы помещаются в основном в исполняемых файлах с расширением.СОМ и.ЕХЕ.

Системные вирусы внедряются в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы находятся в компьютерных сетях, а файлово-загрузочные - заражают загрузочные секторы дисков и файлы прикладных программ.

По пути заражения среды обитания вирусы разделяются на резидентные и нерезидентные.

Резидентные вирусы при заражении компьютера оставляют в ОП свою резидентную часть, которая после заражения перехватывает обращение ОС к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия, которые могут привести к выключению или перезагрузке компьютера. Нерезидентные вирусы не заражают ОП компьютера и проявляют активность ограниченное время.

Особенность построения вирусов влияет на их проявление и функционирование.

Логическая бомба является программой, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм.

Программы-мутанты, самовоспроизводясь, создают копии, явно отличающиеся от оригинала.

Вирусы-невидимки, или стелс-вирусы, перехватывают обращения ОС к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Эти вирусы при обращении к файлам применяют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

Макровирусы используют возможности макроязыков, которые встроены в офисные программы обработки данных (текстовые редакторы, электронные таблицы).

По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяют безвредные, неопасные, опасные и разрушительные вирусы.

Безвредные вирусы не оказывают патологического влияния на работу компьютера. Неопасные вирусы не разрушают файлы, однако уменьшают свободную дисковую память, выводят на экран графические эффекты. Опасные вирусы часто вызывают значительные нарушения в работе компьютера. Разрушительные вирусы могут привести к стиранию информации, полному или частичному нарушению работы прикладных программ. Важно иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, где может помещаться вирус.

4. Антивирусные программы

Широкое распространение компьютерных вирусов привело к разработке антивирусных программ, которые позволяют обнаруживать и уничтожать вирусы, «лечить» пораженные ресурсы.

Основой работы большинства антивирусных программ является принцип поиска сигнатуры вирусов. Вирусной сигнатурой называют некоторую уникальную характеристику вирусной программы, выдающую присутствие вируса в компьютерной системе.

По способу работы антивирусные программы можно разделить на фильтры, ревизоры, доктора, детекторы, вакцины и др.

Программы-фильтры - это «сторожа», которые постоянно находятся в ОП. Они являются резидентными и перехватывают все запросы к ОС на выполнение подозрительных действий, т. е. операций, которые используют вирусы для своего размножения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого диска. Среди них можно выделить попытки изменения атрибутов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, записи в загрузочные секторы диска.

Постоянное нахождение программ-«сторожей» в ОП существенно уменьшает ее объем, что является основным недостатком этих программ. К тому же программы-фильтры не способны «лечить» файлы или диски. Эту функцию выполняют другие антивирусные программы, например AVP, Norton Antivirus for Windows, Thunder Byte Professional, McAfee Virus Scan.

Программы-ревизоры являются надежным средством защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска при условии, что компьютер еще не был заражен вирусом. Впоследствии программа периодически сравнивает текущее состояние с исходным. При обнаружении несоответствий (по длине файла, дате модификации, коду циклического контроля файла) сообщение об этом появляется на экране компьютера. Среди программ-ревизоров можно выделить программу Adinf и дополнение к ней в виде Adinf cure Module.

Программа-доктор способна не только обнаруживать, но и «лечить» зараженные программы или диски. При этом она уничтожает зараженные программы тела вируса. Программы данного типа можно разделить на фаги и полифаги. Фаги - это программы, с помощью которых отыскиваются вирусы определенного вида. Полифаги предназначены для обнаружения и уничтожения большого числа разнообразных вирусов. В нашей стране наиболее часто используются такие полифаги, как MS Antivirus, Aidstest, Doctor Web. Они непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы способны обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к классу резидентных программ. Они модифицируют программы и диски так, что это не отражается на их работе. Однако вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них. В настоящий момент разработано множество антивирусных программ, получивших широкое признание и постоянно пополняющихся новыми средствами для борьбы с вирусами.

5. Безопасность данных в интерактивной среде

Интерактивные среды уязвимы с позиций безопасности данных. Примером интерактивных сред является любая из систем с коммуникационными возможностями, например электронная почта, компьютерные сети, Интернет.

С целью защиты информации от хулиганствующих элементов, неквалифицированных пользователей и преступников в системе Интернет применяется система полномочий, или управление доступом.

Задание: конспект, ответить на вопросы уч.Цв., стр.176, вопр. 3, 4 и 5.