Основы и методы защиты информации

ВВЕДЕНИЕ

Чтобы эффективно бороться с вирусами, необходимо иметь  представление о «привычках»  вирусов и ориентироваться в  методах противодействия вирусам. Вирусом называется специально созданная программа, способная самостоятельно распространяться в компьютерной среде. Если вирус попал в компьютер вместе с одной из программ или с файлом документа, то через некоторое время другие программы или файлы на этом компьютере будут заражены. Если компьютер подключен к локальной или глобальной сети, то вирус может распространиться и дальше, на другие компьютеры. Авторы вирусных программ создают их из разных побуждений, однако результаты работы вирусов оказываются, как правило, схожими: инфекции портят программы и документы, находящиеся на компьютере, что часто приводит к их утрате. Некоторые вирусы способны уничтожать вообще всю информацию на дисках компьютеров, стоимость которой может в десятки и сотни раз превышать стоимость самого компьютера.

ОСНОВЫ И  МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ

Методы защиты информации

С проникновением компьютеров в различные сферы жизни возникла принципиально новая отрасль – информационная индустрия. Объем циркулирующей в обществе информации примерно удваивается каждые пять лет. Человечество создало информационную цивилизацию, в которой от успешной работы средств обработки информации зависит само благополучие и даже выживание человечества в его нынешнем качестве. Произошедшие за этот период изменения можно охарактеризовать следующим  образом.

• Объемы обрабатываемой информации возросли за последние полвека на несколько порядков;
• Информация приобрела стоимость, которую во многих случаях даже невозможно подсчитать;
• Доступ к определенным данным позволяет контролировать значительные материальные и финансовые ценности;
• Обрабатываемые данные стали чрезвычайно многообразными, а не исключительно текстовыми;
• Субъектами информационных процессов теперь являются не только люди, но и созданные ими автоматизированные системы, действующие по заложенной в них программе.

В последние годы большое  внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой как в отдельных компьютерах, так и построенных на их основе вычислительных системах. При этом под защитой информации понимается создание совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения защищаемой информации.

Проблема защиты информации специалистами  интерпретируется следующим образом. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается ее уязвимость. Основными факторами, способствующими повышению этой уязвимости, являются:

• Сосредоточение в единых базах данных информации различного назначения и принадлежности;
• Резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы;
• Расширение использования компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера.

Компьютерные  вирусы

 Использование высокоэффективных информационных систем является обязательным условием успешной деятельности современных организации и предприятий. Безопасность информации -  это один из основных показателей качества информационной системы. По данным статистики, наиболее успешными методами реализации угроз безопасности информации в автоматизированных системах являются вирусные атаки. На их долю приходится около 57% инцидентов с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и попавших в статистические обзоры.

Поэтому одной из основных задач  защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.

Что такое компьютерный вирус? Формального  определения этого понятия до сих пор нет. Многочисленные попытки  дать «современное» определение  вируса не привели к успеху. Поэтому ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором определенном классе программ.

Прежде всего, вирус – это  программа. Такое простое утверждение  само по себе способно развеять множество  легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на мониторе, но не может перевернуть сам монитор. Вирус – программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но, и могут вообще не совпадать.

Вирус не может существовать в полной «изоляции»: нельзя  представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна – вирус должен, каким либо способом обеспечить передачу себе управления.

Вирус, как правило, внедряется в  рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы содержащей вирус, становится возможным заражение других файлов.

Наиболее часто вирусом  заражаются загрузочный сектор диска  и исполняемые файлы, имеющие расширения .EXE, .COM, .SYS, .BAT. Редко заражаются текстовые файлы.

После заражения программы  вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление зараженной программы переносит вирус в следующую. Таким образом, заражается все программное обеспечение.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:

• Прекращение работы или неправильная работа ранее успешно функционировавших программ;
• Замедление работы компьютера;
• Невозможность загрузки операционной системы;
• Исчезновение файлов и каталогов или искажение их содержимого;
• Изменение даты и времени модификации файлов;
• Изменение размеров файлов;
• Неожиданное значительное увеличение количества файлов на диске;
• Существенное уменьшение размера свободной оперативной памяти;
• Вывод на экран непредусмотренных сообщение или изображений;
• Подача непредусмотренных звуковых сигналов;
• Частые зависания и сбои в работе компьютера.

Следует отметить, что  вышеперечисленные явления необязательно  вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Методы защиты от компьютерных вирусов

Для решения задач антивирусной защиты должен быть реализован комплекс известных и хорошо отработанных организационно-технических мероприятий:

• Использование сертифицированного программного обеспечения;
• Организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Предварительная проверка на автономном стенде нового программного обеспечения и данных позволяет значительно снизить вероятность проникновения в систему вирусов при ошибочных действиях пользователей. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию. Однако в случае эксплуатации компьютерной сети проверка на стенде входящих данных значительно снижает оперативность обработки информации;
• Ограничение пользователей системы на ввод программ и данных с посторонних носителей информации. Отключение пользовательских дисководов для магнитных и оптических носителей информации, которые являются основным каналом проникновения вирусов в систему, позволяет значительно повысить уровень антивирусной защиты при работе в компьютерной сети. Особенно эффективным это мероприятие становиться при переходе на технологию электронного документооборота;
• Запрет на использование инструментальных средств для создания программ. Такой запрет необходим, для того чтобы исключить возможность создания пользователями вирусных программ в самой системе;
• Резервное копирование рабочего программного обеспечения и данных. Правильная организация резервного копирования позволяет восстановить работоспособность системы и сохранить ценные данные в случае успешной вирусной атаки. Для критических систем рекомендуется циклическая схема тройного копирования данных, когда рабочая копия файла храниться на диске рабочей станции, одна архивная копия в защищенной области на сервере и еще одна архивная копия – на съемном носителе информации. При этом периодичность и порядок обновления архивных копий регламентируются специальной инструкцией;
• Подготовка администраторов безопасности и пользователей по вопросам антивирусной защиты приводит к ошибочным действиям при настройке системы и в случае возникновения нештатных ситуаций. Обучение пользователей могут осуществлять специалисты службы защиты информации, прошедшие соответствующую подготовку в лицензированном учебном центре.

Программы борьбы с компьютерными вирусами

Несмотря на то, что  общие средства защиты информации очень  важны для защиты от вирусов, все  же их недостаточно. Необходимо применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводиться соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей известны.

Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что это момент программы и системные области дисков не заражены. После этого можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях программа-ревизор сообщает пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.

Доктора-ревизоры – программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы гораздо более универсальные, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечить файлы даже от тех вирусов, которые не были созданы на момент написания программы. Но они могут лечить не от всех вирусов, а только от тех, которые используют «стандартные», известные на момент написания механизмы заражения файлов.

Существуют также программы-фильтры, которые резидентно располагаются в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не «ловят»  подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.