21336

Безопасность информационных систем

Реферат

Информатика, кибернетика и программирование

Действительно вопросы хищения информации ее сознательного искажения и уничтожения часто приводят к трагическим для пострадавшей стороны последствиям ведущим к разорению и банкротству фирм к человеческим жертвам наконец. А тысячи коммерческих компьютерных преступлений приводящих к потерям сотен миллионов долларов а моральные потери связанные с хищением конфиденциальной информации. Перечень бед от нарушения безопасности информации можно было бы продолжать бесконечно если раньше для успешного совершения революции или переворота важно было...

Русский

2013-08-02

165 KB

2 чел.

Безопасность информационных систем

Безопасность информационной системы — свойство, заключающееся в           способности  системы обеспечить конфиденциальность и целостность информации, то есть защиту информации от несанкционированного доступа, обращенного на а раскрытие, изменение или разрушение.

Информационную безопасность часто указывают среди основных информационных проблем XXI века. Действительно, вопросы хищения информации, ее сознательного искажения и уничтожения часто приводят к трагическим для пострадавшей стороны последствиям, ведущим к разорению и банкротству фирм, к человеческим жертвам, наконец. Достаточно в качестве примера привести мировую трагедию, приведшую к гибели нескольких тысяч людей, — атаку террориста на Всемирный торговый центр в Нью-Йорке и Министерство обороны США в Вашингтоне. Подобный террористический акт был бы невозможен, если бы террористы не вывели предварительно из строя компьютерную систему управления безопасностью страны, то есть не разрушили бы систему информационного обеспечения безопасности. А тысячи коммерческих компьютерных преступлений приводящих к потерям сотен миллионов долларов, а моральные потери, связанные с хищением конфиденциальной информации... Перечень бед от нарушения безопасности информации можно было бы продолжать бесконечно (если раньше для успешного совершения революции или переворота важно было захватил почту и телеграф, то теперь необходимо парализовать системы компьютерных! телекоммуникаций).

Достаточно сказать, что:

  •  суммарный ущерб от нарушения безопасности информации в период с 1997 по 2000 год только в США составил 626 млн. дол.;
  •  мировой годовой ущерб от несанкционированного доступа к информации составляющий сейчас около 0,5 млрд. дол., ежегодно увеличивается в 1,5 раза;
  •  ущерб, нанесенный распространявшимся в 1999 году по электронной почте самым «эффективным» вирусом «I love you», превысил 10 млрд. дол.

Вопросам информационной безопасности сейчас уделяется огромное внимание. В законе Российской Федерации «Об информации, информатизации и защите информации», например, подчеркивается, что «...информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства», и защищать информационные ресурсы, естественно, следует, как защищают личную, коммерческую и государственную собственность. Например, информационным ресурсам в сетях общего и корпоративного пользования могут грозить:

  •  приведение сети в неработоспособное состояние в результате злонамеренных или неосторожных действий, например, путем перегрузки сети бесполезной информацией;
  •  несанкционированный доступ к конфиденциальным данным как извне, так и изнутри сети, их корыстное использование и разглашение;
  •  целенаправленное искажение, фальсификация или подмена данных при не санкционированном доступе;
  •  подмена и искажение информации, предоставленной для свободного доступа (например, веб-страниц);
  •  приводящее к невозможности использования информационных ресурсов вирусное их заражение по каналам сети Интернет, электронной почты или  по средством инфицированных внешних носителей (сменных дисков, дискет, CD, и DVD-дисков) и т. д.

Все угрозы информационным системам можно объединить в обобщающие их три группы:

  1.  Угроза раскрытия — возможность того, что информация станет известной тому, кому не следовало бы ее знать.
    1.  Угроза целостности — умышленное несанкционированное изменение (модификация или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.
    2.  Угроза отказа в обслуживании — опасность появления блокировки доступа к некоторому ресурсу вычислительной системы.

Методы обеспечения информационной безопасности в зависимости от способа из реализации можно разделить на следующие классы:

  •  организационные методы, подразумевающие рациональное конфигурирование, организацию и администрирование системы. В первую очередь это касается сетевых информационных систем, операционных систем, полномочий сетевого администратора, набора обязательных инструкций, определяющих порядок доступа и работы в сети;
  •  технологические методы, включающие в себя технологии выполнения сетевого администрирования, мониторинга и аудита безопасности информационных ресурсов, ведения электронных журналов регистрации пользователей, фильтрации и антивирусной обработки поступающей информации;
  •   аппаратные методы, реализующие физическую защиту системы от несанкционированного доступа, аппаратные функции идентификации периферийных терминалов системы и пользователей, режимы подключения сетевых компонентов и т. д.;
  •  программные методы — это самые распространенные методы защиты информации (например, программы идентификации пользователей, парольной защиты и проверки полномочий, брандмауэры, криптопротоколы и т. д.). Без использования программной составляющей практически не выполнимы никакие, в том числе и первые три группы методов (то есть в чистом виде организационные, технологические и аппаратные методы защиты, как правило, реализованы быть не могут — все они содержат программный компонент).

Наибольшее внимание со стороны разработчиков и потребителей в настоящее время вызывают следующие направления защиты информации и соответствующие им программно-технические средства защиты:

  •  от несанкционированного доступа информационных ресурсов автономно работающих и сетевых компьютеров. Наиболее остро проблема стоит для серверов и пользователей Интернета и интранет-сетей. Эта функция реализуется многочисленными программными, программно-аппаратными и аппаратными средствами;
  •  секретной, конфиденциальной и личной информации от чтения посторонними лицами и целенаправленного ее искажения. Эта функция обеспечивается как средствами защиты от несанкционированного доступа, так и с помощью криптографических средств, традиционно выделяемых в отдельный класс;
  •  информационных систем от многочисленных компьютерных вирусов, способных не только разрушить информацию, но иногда и повредить технические компоненты системы (например, Flash BIOS).

Активно развиваются также средства защиты от утечки информации по цепям питания, каналам электромагнитного излучения компьютера или монитора (применяется экранирование помещений, использование генераторов шумовых излучений, специальный подбор мониторов и комплектующих компьютера, обладающих наименьшим излучением), средства защиты от электронных «жучков», устанавливаемых непосредственно в комплектующие компьютера, и т. д.

Защита информации от несанкционированного доступа

Защита от несанкционированного доступа к ресурсам компьютера — это комплексная проблема, подразумевающая решение следующих вопросов:

  •  присвоение пользователю, а равно и терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);
  •  выполнение процедур установления подлинности при обращениях (доступе) к информационной системе и запрашиваемой информации, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует (подлинная идентификация программ, терминалов и пользователей при доступе к системе чаще всего выполняется путем проверки паролей, реже — обращением в специальную службу, ведающую сертификацией пользователей);

Примечание:  Уже используются и экзотические аппаратно-программные системы биометрической идентификации пользователей (мыши и клавиатуры с функцией дактилоскопической идентификации, системы опознавания пользователя по голосу, по видеоизображению, в том числе по сетчатке и радужной оболочке глаз, и т. п.).

  •  проверку полномочий, то есть проверку права пользователя на доступ к системе или запрашиваемым данным (на выполнение над ними определенных операций — чтение, обновление) с целью разграничения прав доступа к сетевым и компьютерным ресурсам;
  •  автоматическую регистрацию в специальном журнале всех как удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение журналов аудита, позволяющих определить, через какой хост-компьютер действовал хакер, а иногда и определить его IP-адрес и точное местоположение.

В литературе имеются рекомендации по количественной оценке параметров систем защиты информации. В руководящих документах Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования к защите информации» и «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (1998 год) рекомендовано для оценки защиты информации от несанкционированного доступа использовать показатели:

  •  Ра — вероятность попадания информации абоненту, которому она не предназначена;
  •  Рс — вероятность непрохождения сигнала тревоги.

В этих же руководящих документах предлагается определить пять классов конфиденциальности информации:

  •  1 — особо секретная;
  •  2 — совершенно секретная;
  •  3 — секретная;
  •  4 — конфиденциальная;
  •  5 — открытая.

Для каждого класса рекомендованы значения показателей Ра и Рс (табл. ).

                                                                                                        Таблица

Вероятность

Значение для классаконфиденциальности

1

2

3

4

5

Ра

10-3

10-4

10-3

10-2

-

Рс

10-5

10-4

10-3

10-2

-

Защита сетей на базе MS Windows NT/2000 Server

Сетевые операционные системы Windows NT/2000 используют единую схему аудита, проверки подлинности и полномочий пользователя:

  •  пользователь указывает имя своей учетной записи и пароль только один раз во время входа в систему, а затем получает доступ ко всем информационным ресурсам корпоративной сети;
  •  администратор ограничивает доступ к данным, модифицируя списки прав доступа к ресурсам;
  •   доступ пользователей к документам контролируется посредством аудита.

В частности, каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на доступ к ресурсам.

Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на весь домен. При регистрации по локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, обратившись к своей глобальной учетной записи. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, отмечаясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи.

Создавать, модифицировать учетные записи и управлять ими администратор может с помощью программы User Manager for Domains. При создании новой учетной записи администратор может определить следующие параметры: пароль и правила его модификации, локальные и глобальные группы, в которые входят: пользователь, профиль пользователя, имена рабочих станций, с которых он может регистрироваться, разрешенные часы работы, срок действия учетной записи и др.

Пароль играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому Windows NT/2000 содержит ряд мощных механизмов, связанных с паролем пользователя. Это:

  •  уникальность пароля и хранение истории паролей;
  •  максимальный срок действия, после которого пароль необходимо изменить;
  •  минимальная длина и минимальный срок хранения пароля;
  •  блокировка учетной записи при неудачной регистрации.

Учетные записи обычно объединяются в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи. Изменение в учетной записи группы приводит к автоматическому изменению учетных записей всех пользователей, входящих в эту группу.

Полномочия (возможности) пользователя в системе определяются набором его прав. Права пользователей бывают стандартные и расширенные.

К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. п.

Расширенные права во многом являются специфичными для операционной системы или приложений.

Механизмы защиты Windows NT/2000 позволяют гибко ограничивать права пользователей или предоставлять им доступ к любым ресурсам системы. Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним обращение, и если да, то как. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор может вступить во владение файлом или каталогом без согласия владельца. Предоставление прав на доступ к файлам и каталогам — основа защиты Windows NT/2000 и важнейшего механизма файловой системы NTFS.

В Windows NT/2000 поддерживается заполнение трех журналов регистрации:

системного журнала, который содержит информацию о компонентах ОС;

журнала безопасности, куда заносится информация о входных запросах в систему и другая информация, связанная с безопасностью, и

журнала приложений, регистрирующего все события, записываемые приложениями. По умолчанию, аудит выключен и журнал безопасности не ведется, но он может быть подключен администратором сети.

Брандмауэр как средство контроля межсетевого трафика

Брандмауэр, или межсетевой экран, — это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети интранет и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены в виде как аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т. д.), встроенного в операционную систему, или представлять собой работающую под ее управлением программу.

Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуска пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание. Эффективность работы межсетевого экрана, работающего под управлением Windows, обусловлена тем, что он полностью замещает реализуемый стек протоколов TCP/IP, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно. Межсетевые экраны обычно выполняют следующие функции:

  •  физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;
  •  многоэтапную идентификацию запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети);
  •  проверку полномочий и прав доступа пользователей к внутренним ресурсам сети;
  •  регистрацию всех запросов к компонентам внутренней подсети извне;
  •  контроль целостности программного обеспечения и данных;
  •  экономию адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);
  •  сокрытие IP-адресов внутренних серверов с целью защиты от хакеров.

Брандмауэры могут работать на разных уровнях протоколов модели OSI.

На сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP-адресах (например, не пропускать пакеты из Интернета, направленные на те серверы, доступ к которым снаружи запрещен; не пропускать пакеты с фальшивыми обратными адресами или с IP-адресами, занесенными в «черный список» и т. д.). На транспортном уровне фильтрация допустима еще и по номерам портов TCP и флагов, содержащихся в пакетах (например, запросов на установление соединения). На прикладном уровне может выполняться анализ прикладных протоколов (FTP, HTTP, SMTP и т. д.) и контроль содержания потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например).

Можно в брандмауэре создавать и экспертную систему, которая, анализируя трафик, диагностирует события, могущие представлять угрозу безопасности внутренней сети, и извещает об этом администратора. Экспертная система способна также в случае опасности (спам, например) автоматически ужесточать условия фильтрации и т. д.

В качестве популярных эффективных брандмауэров можно назвать Netscreen 100 (фирмы Netscreen Technologies) и CyberGuard Firewall (фирмы Cyberguard Corp.).

Криптографическое закрытие информации

Активно развиваются и внедряются криптографические компьютерные технологии, направленные на обеспечение конфиденциальности и работоспособности таких комплексных сетевых приложений, как электронная почта (e-mail), электронный банк (e-banking), электронная торговля (e-commerce), электронный бизнес (e-business).

Криптографическое закрытие информации выполняется путем преобразования информации по специальному алгоритму с использованием шифров (ключей) и процедур шифрования, в результате чего по внешнему виду данных невозможно, не зная ключа, определить их содержание.

С помощью криптографических протоколов можно обеспечить безопасную передачу информации по сети, в том числе и регистрационных имен, паролей, необходимых для идентификации программ и пользователей. На практике используется два типа шифрования: симметричное и асимметричное.

При симметричном шифровании для шифровки и дешифровки данных применяется один и тот же секретный ключ. При этом сам ключ должен быть передан безопасным способом участникам взаимодействия до начала передачи зашифрованных данных. В симметричном шифровании применяются два типа шифров: блочные и поточные.

В первом случае исходное сообщение делится на блоки постоянной длины, каждый из которых преобразуется по определенным правилам в блок зашифрованного текста. В качестве примера блочного шифра можно привести алгоритмы DES, IDEA (автор Джеймс Мэсси), FEAL (Fast data Encipherment ALgorithm). Наиболее популярен алгоритм DES (Digital Encryption Standard), являющийся национальным стандартом шифрования США. Алгоритм DES оперирует блоками длиной 64 бита и 64-битовым ключом, в котором 8 бит являются контрольными, вычисляемыми по специальному правилу (по аналогии с контрольными разрядами корректирующих кодов). В последние годы для увеличения криптостойкости алгоритма все чаще используются 128-битовые ключи, найти которые перебором кодов практически невозможно даже при сверхвысокой производительности современных компьютеров (напомним, что число секунд, которое прошло с момента образования планеты Земля, не превышает 1018, а 2128  =  1040).

В нашей стране для блочного шифрования информации рекомендован симметричный алгоритм, предложенный ГОСТ 28.147—89 «Системы обработки информации. Защита криптографическая».

Поточные шифры оперируют с отдельными битами и байтами исходного сообщения и ключа. Поточные шифры имеют более высокую криптостойкость, но должны использовать длинные ключи, обычно равные длине передаваемого сообщения. В качестве примеров поточных алгоритмов можно привести в первую очередь алгоритмы RC (RC2, RC4, RC5) корпорации RSA Data Security (США) и алгоритмы Веста (Веста-2, Веста-2М, Веста-4) фирмы «ЛАН Крипто» (Россия).

Если при симметричном шифровании ключ стал известен третьему лицу (хакеру), последний, используя этот ключ, имеет возможность перехватить сообщение и подменить его своим собственным, а затем, получив доступ ко всей информации, передаваемой между абонентами, манипулировать ею в своекорыстных целях. Для защиты от подобных событий можно использовать систему цифровых сертификатов, то есть документов, выдаваемых сертификационной службой СА (certificate authority) и содержащих информацию о владельце сертификата, зашифрованную с помощью закрытого ключа этой организации. Запросив такой сертификат, абонент, получающий информацию, может удостовериться в подлинности сообщения.

Асимметричное шифрование основано на том, что для шифровки и расшифровки используются разные ключи, которые, естественно, связаны между собой, но знание одного ключа не позволяет определить другой. Один ключ свободно распространяется по сети и является открытым (public), второй ключ известен только его владельцу и является закрытым (private). Если шифрование выполняется открытым ключом, то сообщение может быть расшифровано только владельцем закрытого ключа — такой метод шифрования используется для передачи конфиденциальной информации. Если сообщение шифруется закрытым ключом, то оно может быть расшифровано любым пользователем, знающим открытый ключ (напомним, открытый ключ пересылается по сети совершенно открыто, и он может быть известен многим пользователям), но изменить или подменить зашифрованное сообщение так, чтобы это осталось незамеченным, владелец открытого ключа не может. Этот метод шифрования предназначен для пересылки открытых документов, текст которых не может быть изменен (например, документов, сопровождаемых электронной подписью).

Криптостойкость асимметричного шифрования обеспечивается сложной комбинаторной задачей, решить перебором кодов которую не представляется возможным: алгоритм RSA (аббревиатура по фамилиям его создателей Rivest, Shamir, Adelman) основан на поиске делителей большого натурального числа, являющегося произведением всего двух простых чисел; алгоритм эль-Гамаля основан на решении задачи дискретного логарифмирования для поиска числа X из уравнения аХ =  b mod р при заданных числах a и b и большом простом числе р и т. д.

На практике криптопротоколы, применяемые в компьютерных сетях, совместно используют и симметричное, и асимметричное шифрование. Например, протокол SSL (Secure Socket Level), поддерживаемый большинством современных веб-браузеров, после первоначального согласования симметричного ключа и алгоритма шифрования при установлении соединения использует асимметричный алгоритм RSA с открытым шифрующим ключом и симметричные протоколы DES и другие для шифрования информации. Для защиты информации об электронных платежах обычно служит криптопротокол SET (Secure Electronic Transaction), разработанный совместно несколькими фирмами, в числе которых Microsoft, Netscape, Visa и Mastercard. Этот протокол использует для шифрования сообщения алгоритм DES, а для шифрования секретного ключа и номера кредитной карты — алгоритм RSA. Асимметричные протоколы используются, в частности, для шифрования электронной подписи.

Электронная цифровая подпись

Статья 434 Гражданского кодекса Российской Федерации определяет, что заключение любого юридического договора может быть осуществлено не только в письменной форме, путем составления печатного документа, подписанного сторонами, но и путем обмена документами посредством электронной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. В этом случае целесообразно использовать одну из операций криптографии — электронную цифровую подпись.

Электронная цифровая подпись — это последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа и позволяющая подтверждать целостность и неизменность этой информации, а также ее авторство путем применения открытого ключа.

При использовании электронной подписи файл пропускается через специальную программу (hash function), в результате чего получается набор символов (hash code), генерируются два ключа: открытый (public) и закрытый (private). Набор символов шифруется с помощью закрытого ключа. Такое зашифрованное сообщение и является цифровой подписью. По каналу связи передается незашифрованный файл в исходном виде вместе с электронной подписью. Другая сторона, получив файл и подпись, с помощью имеющегося открытого ключа расшифровывает набор символов из подписи. Далее сравниваются две копии наборов, и если они полностью совпадают, то это действительно файл, созданный и подписанный первой стороной.

Для длинных сообщений с целью уменьшения их объема (ведь при использовании электронной подписи фактически передается файл двойной длины) передаваемое сообщение перед шифрованием сжимается (хешируется), то есть над ним производится математическое преобразование, которое описывается так называемой хеш-функцией. Расшифрованный полученный файл в этом случае дополнительно пропускается через тот же алгоритм хеширования, который не является секретным.

Для шифрования электронной подписи используются ранее названный алгоритм RSA, а также DSA (национальный стандарт США) и Schnorr (алгоритм Klaus Schnorr); в России применяются алгоритмы шифрования электронной подписи по ГОСТ Р 34.10—94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» и «Нотариус» («Нотариус-AM», «Нотариус-S».

 Защита информации от компьютерных вирусов

Компьютерным вирусом называется рукотворная программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи с целью прерывания и нарушения работы программ, порчи файлов, файловых систем и компонентов компьютера, нарушения нормальной работы пользователей. Вирусам компьютерным, как и биологическим, характерны определенные стадии существования:

  •  латентная стадия, в которой вирус никаких действий не предпринимает;
  •  инкубационная стадия, в которой основная задача вируса — создать как можно больше своих копий и внедрить их в среду обитания;
  •  активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия.

Сейчас существуют сотни тысяч различных вирусов, и их можно классифицировать по нескольким признакам.

По среде обитания вирусы бывают:

  •  файловые;
  •  загрузочные;
  •  файлово-загрузочные;
  •  сетевые;
  •   документные.

Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения ЕХЕ и СОМ (самые распространенные вирусы), но могут прикрепляться и к файлам с компонентами операционных систем, драйверам внешних устройств, объектным файлам и библиотекам, в командные пакетные файлы (вирус подключает к такому файлу исполняемые программы, предварительно заразив их), программные файлы на языках процедурного программирования (заражают при трансляции исполняемые файлы). Файловые вирусы могут создавать файлы-двойники (компаньон-вирусы). В любом случае файловые вирусы при запуске программ, ими зараженных, берут на время управление на себя и дезорганизуют работу своих «квартирных хозяев».

Загрузочные вирусы внедряются в загрузочный сектор дискеты или в сектор, содержащий программу загрузки системного диска. При загрузке DOS с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицирует таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы.

Файлово-загрузочные вирусы интегрируют возможности двух предыдущих групп и обладают наибольшей «эффективностью» заражения.

Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей).

Документные вирусы (их часто называют макровирусами) заражают и искажают текстовые файлы (.DOС) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макровирусы не только инфицируют создаваемые документы, но и рассылают копии этих документов по электронной почте (печально известный вирус «I love you» или менее навредивший вирус «Анна Курникова»).

По способу заражения среды обитания вирусы делятся:

  •  на резидентные;
  •  нерезидентные.

Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера.

Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.

Вирусы бывают неопасные и опасные. Неопасные вирусы тяжелых последствий после завершения своей работы не вызывают — они прерывают на время работу исполняемых программ, создавая побочные звуковые и видеоэффекты (иногда даже приятные), или затрудняют работу компьютера, уменьшая объем свободной оперативной и дисковой памяти. Опасные вирусы могут производить действия, имеющие далеко идущие последствия: искажение и уничтожение данных и программ, стирание информации в системных областях диска и даже вывод из строя отдельных компонентов компьютера (перепрограммирование Flash-чипсета BIOS).

По алгоритмам функционирования вирусы весьма разнообразны, но можно говорить о таких, например, их группах:

  •  паразитические вирусы, изменяющие содержимое файлов или секторов диска; они достаточно просто могут быть обнаружены и уничтожены;
  •  вирусы-репликаторы («черви» WORM), саморазмножающиеся и распространяющиеся по телекоммуникациям и записывающие по вычисленным адресам сетевых компьютеров транспортируемые ими опасные вирусы (сами «черви»деструктивных действий не выполняют, поэтому их часто называют псевдо вирусами);
  •  «троянские» вирусы маскируются под полезные программы (часто существуют в виде самостоятельных программ, имеющих то же имя, что и действительно полезный файл, но иное расширение имени; часто, например, присваивают себе расширение СОМ вместо ЕХЕ) и выполняют деструктивные функции (например, затирают FAT); самостоятельно размножаться, как правило, не могут;
  •  вирусы-«невидимки» (стелс-вирусы), названные так по имени самолета-невидимки Stealth, способны прятаться при попытках их обнаружения; они перехватывают запрос антивирусной программы и  мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незаряженные участки файлов;
  •   самошифрующиеся вирусы (в режиме простоя зашифрованы и расшифровываются только в момент начала работы вируса);
  •  полиморфные, мутирующие вирусы (периодически автоматически видоизменяются, копии вируса не имеют ни одной повторяющейся цепочки байтов), необходимо каждый раз создавать новые антивирусные программы для обезвреживания этих вирусов;
  •  «отдыхающие» вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус «Чернобыль» в сети Интернет функционирует только в день годовщины чернобыльской трагедии).

Классификация компьютерных вирусов показана на рис.

Классификация компьютерных вирусов

               Среда обитания                Сетевые

 Файловые

                                                             Файлово-загрузочные

                                                              Загрузочные

                                                              Документные

               Способ заражения             Резидентные

                                                  Нерезидентные

               Степень воздействия       Опасные

                                                             Неопасные

              Алгоритм                           Паразитические

              Функционирования          Репликаторы

                                                            Невидимки

                                                            Мутирующие

                                                            Троянские

                                                            Самошифрующиеся

                                                            Отдыхающие

Рис. . Классификация компьютерных вирусов

Для своевременного обнаружения и удаления вирусов важно знать основные признаки появления их в компьютере:

  •  неожиданная неработоспособность компьютера или его компонентов;
  •  невозможность загрузки операционной системы;
  •  медленная работа компьютера;
  •  частые зависания и сбои в компьютере;
  •  прекращение работы ранее успешно исполнявшихся программ;
  •  искажение или исчезновение файлов и каталогов;
  •  непредусмотренное форматирование диска;
  •  необоснованное увеличение количества файлов на диске;
  •  необоснованное изменение размера файлов;
  •  искажение данных в CMOS-памяти;
  •  существенное уменьшение объема свободной оперативной памяти;
  •  вывод на экран непредусмотренных сообщений и изображений;
  •  появление непредусмотренных звуковых сигналов.

Способы защиты от вирусов

Прежде всего, следует знать возможные источники заражения вирусами и аккуратно с ними работать, то есть осуществлять антивирусную профилактику. Источниками непреднамеренного вирусного заражения могут явиться только съемные носители информации и системы телекоммуникаций.

Съемные носители информации — чаще всего это дискеты, съемные жесткие диски, контрафактные (не лицензионные) компакт-диски. Вирусы с зараженных съемных носителей могут попасть на «винчестер» ПК, даже если информация с этого носителя на жесткий диск не переносилась, а всего лишь была предпринята попытка загрузить операционную систему с дискеты, не являющейся системной. Но большинство существующих вирусов поражают только тот диск, на который информация переносится (именно поэтому рекомендуется на одном физическом диске создавать два логических диска — С: и D:, причем на системный диск С: никакой рабочей информации не записывать, а использовать его только для хранения системной информации и антивирусных программных средств, которые в нужный момент могут быть использованы для устранения вирусов на диске D:).

Съемный носитель может быть заражен сам (вирус находится в его загрузочном секторе), или может быть заражен какой-либо файл на этом носителе. Поэтому для профилактики вирусного заражения компьютера все сменные носители, если они использовались перед этим на других ПК, целесообразно сразу же при их подключении проверить антивирусной программой.

Системы телекоммуникаций могут служить поставщиками вируса при их подключении к ПК через модемы и сетевые карты. Поэтому целесообразно осуществлять автоматический входной контроль всех файлов, поступающих по сети, а также по возможности подключать модемы к компьютеру через простые программные брандмауэры, позволяющие хотя бы частично «вылавливать» приходящие по сети вирусы. Особенно осторожно следует обращаться с электронной почтой, во-первых, потому что она часто используется для транспортировки вирусов, а во-вторых, поскольку многие очень вредные новые вирусы (например, уже упоминавшийся ранее вирус «I love you», нанесший общемировой ущерб, превысивший 10 млрд долларов) именно в электронных письмах автоматически создают паразитные файлы-вложения и размещаются в них. При получении письма с прикрепленным файлом, если в тексте письма нет ссылки на вложение, рекомендуется для безопасности вообще это вложение не открывать.

Для обнаружения и удаления компьютерных вирусов разработано много различных программ. Эти антивирусные программы можно разделить:

  •  на программы-детекторы, или сканеры;
  •  программы-ревизоры изменений,
  •  программы-фильтры, или сторожа (поведенческие блокираторы);
  •  программы-доктора, или дезинфекторы, фаги;
  •  программы-вакцины, или иммунизаторы.

Классификация антивирусных программ представлена на рис. 30.2.

Программы-детекторы осуществляют поиск компьютерных вирусов в памяти машины и при обнаружении искомых сообщают об этом. Детекторы могут обнаруживать как уже известные вирусы (ищут характерную для конкретного уже известного вируса последовательность байтов — сигнатуру вируса), так и произвольные вирусы (путем подсчета контрольных сумм для массива файла).

Программы-ревизоры (например, ADINF) являются развитием детекторов, но выполняют значительно более сложную и эффективную работу. Они запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим. При сравнении проверяются длина файлов, дата их создания и модификации, контрольные суммы и байты циклического контроля и другие параметры.

Программы-сторожа (например, утилита DOS VSAFE) выполняют наблюдение и выявление подозрительных, характерных для вирусов процедур в работе компьютера (коррекция исполняемых .ЕХЕ и .СОМ файлов, запись в загрузочные секторы дисков, изменение атрибутов файлов, прямая запись на диск по прямому адресу и т. д.). При обнаружении таких действий фильтры посылают пользователю запрос о подтверждении правомерности таких процедур.

Программы-доктора — самые распространенные и популярные программы (например, программы AVP «Лаборатории Касперского», Dr. Web, Aidstest, Norton Antivirus и т. д.). Эти программы не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные секторы дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там (удаляют тело резидентного файла), а затем излечивают файлы и диски. Многие программы-доктора находят и удаляют большое число (десятки тысяч) вирусов и являются полифагами. Полифаги AVP, Dr. Web и т. д. обновляются ежемесячно, а при появлении особо опасных вирусов — и чаще.

Программы-вакцины применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой-вирусом как уже зараженный, и поэтому вирус не внедряется.

Основные меры по защите компьютеров от вирусов

  1.  Не использовать нелицензионные или не проверенные программные продукты(например, с контрафактных CD и DVD).
  2.  Иметь на компьютере один или несколько пакетов антивирусных программи по возможности обновлять их ежемесячно (сейчас наиболее популярныAVP и Dr. Web).
  3.  Стараться не пользоваться дискетами с чужих компьютеров, а при возникновении такой потребности сразу же проверять их антивирусными программами.
  4.  При использовании гибких дисков на чужих компьютерах защищать их от записи, если она не предусмотрена выполняемой процедурой.
  5.  Не запускать на компьютере программ, назначение которых неизвестно или непонятно.
  6.  Использовать антивирусные программы для входного контроля информации, поступающей по сети.
  7.  Не раскрывать вложения в электронные письма, если их наличие вам непонятно.
  8.  При переносе на компьютер архивированных файлов сразу же после распаковки проверять их антивирусными программами.
  9.  Перед открытием текстовых, табличных и иных файлов, содержащих макросы, проверять предварительно макросы на наличие вирусов.
  10.   Периодически проверять жесткий диск на наличие вирусов.
  11.   Не оставлять дискеты в дисководе при включении и выключении компьютера во избежание заражения их загрузочными вирусами.
  12.   Обязательно хранить на дискетах архивные копии всех ценных файлов.


 

А также другие работы, которые могут Вас заинтересовать

83933. Организация работы механо-сборочного цеха 219.5 KB
  Задачи курсовой работы: охарактеризовать предприятие; описать планирование в структурном подразделении на предприятии; изучить виды планов; составить калькуляцию на изготовление изделия; изобразить схему организационной структуры подразделения; изучить рабочее место контролёра...
83934. ПОЧВЕННО-АГРОХИМИЧЕСКАЯ ХАРАКТЕРИСТИКА ПОЧВ ТУНКИНСКОГО РАЙОНА РЕСПУБЛИКИ БУРЯТИЯ 57.85 KB
  Тункинский район Республики Бурятия находится в юго-западной части Бурятии, в 40 км к западу от озера Байкал. На территории Тункинского района находится Тункинский национальный парк, границы парка совпадают с административными границами района.
83935. Договор международной купли-продажи товаров: понятие, особенности, правовое регулирование 191.5 KB
  Цель работы дать характеристику договора международной купли-продажи товаров, раскрыть его содержание и определить порядок разрешения коллизионных вопросов. Для достижения указанной цели решаются следующие задачи: проанализировать источники, регулирующие договор международной купли-продажи товаров...
83936. Разработка мероприятия направленного на улучшение финансового состояния ЗАО «Коноваловское» 546.5 KB
  Объектом исследования является Закрытое Акционерное Общество «Коноваловское», которое занимается выращиванием, переработкой, хранением и реализацией сельскохозяйственной продукции, оптовой торговлей зерном, продажей элитных семян зерновых культур.
83937. Регистр сдвига 2.96 MB
  Заданная схема представляет собой 4х-разрядный сдвиговый регистр. Запись и сдвиг происходит синхронно по сигналу C. Переключение режима записи и сдвига осуществляется сигналом E. Все переключения осуществляются по отрицательному фронту.
83938. Моделирование управляемого объекта 334 KB
  Для заданной замкнутой линейной системы управления с отрицательной обратной связью, состоящей из регулятора (Р) и управляемого объекта (УО), выбрать настроечные параметры ПИД-регулятора, обеспечивающие апериодический переходный процесс по каналам воздействия...
83939. ПСИХОЛОГИЧЕСКАЯ СПЕЦИФИКА ПРОЯВЛЕНИЯ ЭКЗИСТЕНЦИАЛЬНОЙ ТРЕВОЖНОСТИ В ПЕРИОД РАННЕЙ ЗРЕЛОСТИ 78.52 KB
  Понятие тревожности и страха. Человек в том числе совсем еще молодой может испытывать разного рода страхи фобии тревожные состояния однако по нашему мнению некоторые из них выступают в качестве индикаторов экзистенциальной тревожности которая зачастую по разным причинам неосознанна.
83940. Производственно-техническая инфраструктура предприятий: Методические указания 851.5 KB
  Задачей расчета является определение программы и объема работ по ТО и ремонту подвижного состава предприятия, расчета необходимого количества постов и линий, численности персонала, площади помещений. Взяв за основу исходные задания, а, также используя рекомендуемые нормативы...
83941. Изучение аппаратного и программного обеспечения персонального компьютера и создание презентации 670 KB
  Устройства хранения данных могут использовать различные физические принципы хранения информации магнитный оптический электронный в любых их сочетаниях. Характерной особенностью внешней памяти является то что ее устройства оперируют блоками информации но никак не байтами или словами как это позволяет оперативная память.