Информатика Электронный учебник
Пятница, 17.05.2024, 10:21
ГлавнаяРегистрацияВход Приветствую Вас Гость | RSS

Меню сайта

Категории раздела
Информация и человек [3]
Измерение информации [0]
Защита информации [4]

Наш опрос
Умеете ли Вы работать с информацией?
Результаты | Архив опросов
Всего ответов: 12

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа
Главная » Файлы » Информация » Защита информации
Средства и приемы обеспечения защиты информации от вирусов
19.12.2012, 12:08

Средства и приемы обеспечения защиты информации от вирусов.


Особенности операционных систем ПК (пользователь может управлять любым ресурсом) породили проблему заражения ПК компьютерными вирусами. Массовое использование ПК в сетевом режиме и, особенно, пользование глобальной сетью Интернет сильно увеличили вероятность заражения. Компьютерным вирусом называют обычно небольшую по размерам программу, способную присоединяться к другим программам (заражать их), и выполнять нежелательные для пользователя действия. Вирус создает свои копии (не обязательно полностью совпадающие с оригиналом) и внедряет их в файлы, системные области компьютера и в другие связанные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

Компьютерным вирусом называют обычно небольшую по размерам программу, способную присоединяться к другим программам (заражать их), и выполнять нежелательные для пользователя действия.

Вирус создает свои копии (не обязательно полностью совпадающие с оригиналом) и внедряет их в файлы, системные области компьютера и в другие связанные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

 

Жизненный цикл вируса состоит из следующих стадий:

·         внедрение,

·         инкубационный период,

·         репродуцирование и

·         деструкция.

 

В соответствии с жизненным циклом, вирус имеет взаимосвязанные части, выполняющие следующие задачи:

·         внедрение и обеспечение инкубационного периода,

·         копирование и присоединение к другим файлам,

·         проверка условий активизации (начала деструктивных действий),

·         реализация деструктивных действий и

·         саморазрушение.

·          

Отметим, что для затруднения борьбы с вирусом эти части могут храниться в разных местах.

 

При функционировании большинства вирусов происходит такое изменение системных файлов компьютера, при котором вирус начинает свою деятельность при каждой загрузке ПК. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на порче программных файлов. Всякий раз, когда пользователь копирует файлы на гибкий диск или посылает инфицированные файлы по сети, переданная копия вируса пытается установить себя на новый диск.

После того как вирус выполнит деструктивные действия, он передает управление той программе, в которой он находится. Работа этой программы некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со «странностями». К признакам появления вируса можно отнести:

 

• замедление работы компьютера,

• невозможность загрузки операционной системы,

• частые «зависания» и сбои в работе компьютера,

• неправильную работу ранее успешно функционировавших программ,

• увеличение количества файлов на диске,

• изменение размеров файлов,

• периодическое появление на экране монитора посторонних сообщений,

• уменьшение объема свободной оперативной памяти,

• заметное возрастание времени доступа к жесткому диску,

• изменение времени создания файлов,

• разрушение файловой структуры (исчезновение файлов, искажение каталогов и т.п.) и т.п.

 

Заметим, что эти признаки могут быть вызваны другими причинами, поэтому компьютер следует периодически диагностировать.

 

Во многих странах действуют законодательные меры по борьбе с компьютерными преступлениями, разрабатываются антивирусные программные средства, однако количество новых вирусов непрерывно возрастает.

 

Персон, использующих свои знания и опыт для несанкционированного доступа к информационным и вычислительным ресурсам, к получению конфиденциальной информации, называют хакерами.

 

Мотивы действий хакеров могут быть различными:

·         стремление к финансовым приобретениям;

·         желание отомстить руководству организации, из которой по тем или иным причинам его уволили;

·         психологические (зависть, тщеславие, желание проявить свое техническое превосходство, хулиганство и пр.).

 

Действия хакеров, или компьютерных хулиганов, могут наносить существенный вред пользователям компьютеров и владельцам информационных ресурсов: приводить к простоям компьютеров, необходимости восстановления испорченных данных, к дискредитации юридических или физических лиц, например, путем искажения информации.

 

Основными каналами проникновения вирусов являются съемные диски (дискеты и CD-ROM) и компьютерные сети.

Заражение жесткого диска ПК может произойти при загрузке компьютера с дискеты, содержащей вирус.

Для усиления безопасности необходимо обращать внимание на то, как и откуда получена программа (из сомнительного источника, имеется ли сертификат, эксплуатировалась ли раньше и т.д.).

 

Однако главная причина заражения ПК вирусами - отсутствие в их операционных системах эффективных средств защиты информации от несанкционированного доступа.

 

По данным специальной литературы зарегистрированы десятки тысяч компьютерных вирусов. Приведем одну из классификаций компьютерных вирусов  В этой классификации вводят следующие признаки:

 

·         среда обитания,

·         операционная система,

·         особенности алгоритма,

·         деструктивные возможности.

 

В зависимости от среды обитания вирусы классифицируются на загрузочные, файловые, системные, сетевые, макровирусы, а также их комбинации.

 

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

Файловые вирусы внедряются в основном в исполняемые файлы (с расширением com или exe).

Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы существуют в компьютерных сетях и используют для своего распространения протоколы и команды этих сетей и электронной почты.

Макровирусы поражают файлы-документы, электронные таблицы и презентации. Они используют возможности макроязыков, встроенных в офисные программы обработки данных.

 

Из комбинированных вирусов отметим файлово-загрузочные и сетевые макровирусы.

Файлово-загрузочные (многофункциональные) вирусы поражают загрузочные секторы дисков и программные файлы.

Сетевой макровирус не только заражает документы, но и рассылает свои копии по электронной почте.

 

Операционная система, объекты которой подвержены заражению является следующим признаком классификации компьютерных вирусов.

 

Файловые и сетевые вирусы поражают файлы одной или нескольких операционных систем. Загрузочные вирусы также рассчитаны на конкретное расположение системных данных в загрузочных секторах дисков ПК.

 

По особенностям алгоритма вирусы делят на резидентные и нерезидентные, невидимки (стелс-вирусы), репликаторные, программы-мутанты (самошифрующиеся и полиморфные) и использующие нестандартные приемы.

 

Резидентные вирусы при заражении компьютера оставляют в его оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера.

 

Нерезидентные вирусы не заражают оперативную память ПК и являются активными ограниченное время. Макровирусы можно считать резидентными, так как они присутствуют в оперативной памяти компьютера во время работы зараженного редактора.

 

Вирусы-невидимки (стелс-вирусы) используют специальные методы для маскировки своего присутствия. Обычно это достигается путем перехвата ряда системных функций, ответственных за работу с файлами. Использование вирусами стелс-технологии приводит к тому, что определить наличие их в системе, не имея достойного антивируса, практически невозможно. Воздействие на ваш компьютер может быть самым разнообразным — в зависимости от того, чего хотел добиться автор вируса: уничтожить информацию или потешить свое самолюбие в виде массового распространения дела рук своих.

 

Репликаторные вирусы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала.

 

Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала. Если не вдаваться в подробности, то можно сказать, что этот вирус постоянно изменяется, так что стандартными средствами обнаружить его сложно. Поэтому зачастую нельзя установить инфицированный файл по сигнатуре.

 

Полиморфные вирусы часто содержат и стелс-механизмы, представляя собой некий конгломерат вирусных технологий.

 

По деструктивным воздействия вирусы подразделяются на безвредные, неопасные, опасные и разрушительные.

 

Безвредные вирусы не оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в результате своего размножения.

 

Неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т.д.

 

Опасные вирусы нередко приводят к серьезным нарушениям в работе компьютера; разрушительные - к стиранию информации, полному или частичному нарушению работы прикладных программ.

 

Основные действия вирусов

«Ловушки» используют несовершенства действующих программ и, например, изменяют адреса входа из программы в подпрограммы.

 

В компьютерных сетях распространены программы-черви. Они вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии, поддерживая между собой связь. В случае прекращения существования «червя» на каком-либо ПК оставшиеся отыскивают свободный компьютер и внедряют в него такую же программу.

 

«Троянский конь», маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается (например, собирает информацию об именах и паролях, записывая их в специальный файл, доступный лишь создателю данного вируса), либо разрушает файловую систему.

 

«Логическая бомба» встраивается в большой программный комплекс и безвредна до наступления определенного события. Например, она начинает работать после некоторого числа вызовов прикладных программ комплекса, при наличии или отсутствии определенного файла, записи файла и т.п.

 

Необходимо иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, куда может внедриться вирус.

 

В основе работы большинства антивирусных программ лежит принцип поиска уникальной характеристика вирусной программы (сигнатуры вируса). Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. Антивирусная программа просматривает файлы на выявление сигнатур, имеющихся в базе данных.

 

По методу работы антивирусные программы подразделяются на фильтры, ревизоры доктора, детекторы, вакцины и другие.

 

Программы-фильтры, или «сторожа», постоянно находятся в оперативной памяти и перехватывают все запросы к ОС на выполнение подозрительных действий.

 

При каждом запросе на такое действие на экран компьютера выдается сообщение. Пользователь должен либо разрешить выполнение действия, либо запретить его. Раздражающая пользователя «назойливость» и уменьшение свободного объема оперативной памяти из-за постоянного нахождения в ней «сторожа» являются главными недостатками этих программ. 

 

Более надежным средством защиты от вирусов являются программы-ревизоры. Они запоминают исходные характеристики программ, каталогов и системных областей диска (до заражения компьютера), а затем периодически сравнивают текущие характеристики с исходными. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и т.п.) сообщение об этом выдается пользователю.

 

Программы-доктора не только обнаруживают, но и «лечат» зараженные программы, удаляя из них тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов. Наибольшее распространение в России имеют такие полифаги, как MS AntiVirus, Aidtest, Doctor Web. Они непрерывно обновляются для борьбы с новыми вирусами.

 

Программы-детекторы позволяют обнаруживать файлы, зараженные известными разработчикам этих программ вирусами.

 

Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

 

Антивирусные программы, как правило, имеют настраиваемые пользователем параметры:

·         объекты проверки (диски, каталоги, файлы, типы файлов);

·         режим работы (проверка или лечение);

·         уровень сложности проверки (по базе вирусов или эвристический анализ):

·         режим использования ресурсов компьютера (основной или фоновый) и т.п.

 

Перечислим правила, которые следует соблюдать для уменьшения потерь от действий компьютерных вирусов.

1.    Используйте регулярно обновляемое антивирусное программное обеспечение, приобретаемое у разработчиков или их официальных дистрибьютеров.

2.    Программы и документы, выполненные с использованием пакета MS Office и полученные из компьютерных сетей, требуют осторожного обращения. Перед их применением следует провести проверку на наличие вирусов.

3.    Для защиты файлов на сервере используйте возможности защиты сети: ограничение прав пользователей; установку атрибутов файлов «только на чтение»; скрытие важных разделов диска и директорий. Регулярно проверяйте сервер антивирусными программами. Перед запуском нового программного обеспечения проверьте его на компьютере, не подключенном к сети. Желательно использование бездисковых рабочих станций.

4.    Приобретайте дистрибутивы программного обеспечения у официальных продавцов. Использование «левых» продуктов может привести к большим потерям. Храните копии дистрибутивов программного обеспечения на защищенных от записи дисках.

5.    Подождите некоторое время перед использованием полученной из глобальной сети и проверенной Вами антивирусами программы. Если она заражена новым вирусом, то через некоторое время об этом появится сообщение. Ограничивайте круг лиц, имеющих доступ к компьютеру; наиболее часто заражаются «многопользовательские» ПК.

6.    Регулярно проводите проверку целостности информации. Используйте для этого утилиты, создающие и хранящие в специальных базах информацию о системных областях дисков и файлах (контрольные суммы, размеры, атрибуты и т.п.).

7.    Сохраняйте на внешнем носителе Ваши рабочие файлы.

 

Заметим, что проблему защиты от вирусов следует рассматривать как часть проблемы защиты информации.


Категория: Защита информации | Добавил: user
Просмотров: 2449 | Загрузок: 0 | Комментарии: 1 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz

    		•
    Copyright MyCorp © 2024 Конструктор сайтов - uCoz