YourLib.net
Твоя библиотека
Главная arrow Информатика (Под общ. ред. А.Н. Данчула) arrow 6.7. Основные сведения о вирусной безопасности
6.7. Основные сведения о вирусной безопасности

6.7. Основные сведения о вирусной безопасности

   Проблема «компьютерных вирусов» получила широкое распространение с момента своего возникновения. В 1988 г. с появлением в сети «вируса (червя) Морриса», который инфицировал 6200 компьютеров, началось целенаправленное развитие антивирусных средств.
   Вирусы представляют собой программы, злонамеренно внедряемые в систему с целью нанесения вреда или разрушений, которые распространяются за счет самокопирования и подсоединения копий к другим программам. Вирусы исторически можно разделить на поколения:
   —  «троянские кони» — программы со скрытыми от пользователя деструктивными функциями (в настоящее время устарели);
   —  «логические бомбы» — участок программного кода или программа, деструктивные функции которых проявляются не сразу, а при наступлении определенного внешнего события (например, активизация по дате);
   —  автономные репликативные программы (АРП) — самовоспроизводящиеся и самопроизвольно распространяющиеся программы, несанкционированно использующие вычислительные ресурсы.
   Среди АРП выделяют программы-репликаторы (потомки «троянских коней»), являющиеся цельными программами, обеспечивающими распространение в распределенной сети, и вирусы — потомки «логических бомб», которые являются «врезками» чужеродного кода в программу-носитель.
   С первыми АРП начали появляться и программы защиты, позволяющие обнаружить вирусную атаку, а в ряде случаев и ликвидировать ее последствия. Основное назначение программ защиты — это предупреждение пользователя о вирусной атаке на ее ранних стадиях, а также принятие мер по ее срыву.
   Необходимо отметить, что различные защитные средства от вирусных атак развиваются интенсивно. Поэтому рассмотрим только некоторые из них, которые можно разделить на следующие пять типов:
   1.  Детекторы вирусов обнаруживают АРП на дисковых носителях путем последовательного просмотра всех файлов. Работают на основе сигнатуры — устойчивой кодовой комбинации, характерной для данного типа АРП. Наиболее старый вариант защиты.
   2.  Программа-вакцина внедряется в защищаемую (прикладную) программу и определяет ряд ее характеристик (длина, коды в окрестности входа в нее и т. д.). При внедрении запускается защищаемая программа, управление получает программа- вакцина, определяет текущие значения характеристик и запоминает их в качестве эталонных. После внедрения при инициализации прикладной программы вначале управление перехватывает АРП, выполняет свои «грязные» функции, после чего управление, которое должно было передаваться прикладной программе — носителю вируса, перехватывает программа-вакцина, определяющая текущие значения характеристик. При несовпадении текущих значений характеристик с эталонными значениями поднимается тревога. Достоинство — программу возможно использовать для обнаружения и новых АРП, так как она фиксирует несанкционированные изменения в защищаемой программе. В ряде случаев программа-вакцина может и «вылечить» защищаемую программу.
   3.  Программы-прививки. Большинство АРП инфицируют программу однократно, так как это позволяет избежать преждевременного обнаружения вирусной атаки по резкому увеличению объема выполняемых программ. Поэтому ей необходимо использовать специальный индикатор заражения программы. Если все программы на диске снабдить таким индикатором, то АРП будет лишена возможности размножаться. Недостатки — узкая специализация на определенном типе АРП, в ряде случаев АРП при обнаружении факта заражения всех программ переходит к фазе активной работы, что может привести к краху системы. Успешное применение такой защиты возможно при предварительном тщательном анализе вирусной атаки и определении индикатора с целью его дальнейшего применения для прививки.
   4.  Программы слежения за состоянием файловой системы. Эти программы-ревизоры следят за состоянием исполняемых файлов, записывая их характеристики (длину, контрольную сумму, дату и время создания (модификации) файла, точку входа в программу) в отдельный файл. Проверка также осуществляется отдельной программой. Эти программы универсальны, так как фиксируют любые изменения в файле, но должны запускаться в самом начале. Недостатки — эффективность зависит от частоты ревизий, они не могут обнаруживать зараженные программы, если последние были заражены до проведения первой ревизии.
   5.  Программы-мониторы. При инициализации такой программы она устанавливается в оперативной памяти резидентно и при вызовах программ обслуживания прерываний каждый раз перехватывает вектор прерывания, проверяя, насколько потенциально опасна для системы вызываемая функция, и запрашивает у пользователя подтверждение. Основной недостаток — каждый системный вызов вызывает серию запросов на уровне физической адресации, что ведет к ложным срабатываниям монитора. Постоянно совершенствуются.
   Приведенные типы программных средств защиты от вирусной атаки на сегодняшний день охватывают не все существующие.
   В связи с развитием Интернета и различных корпоративных сетей разновидности вирусов и скорость их распространения растут. По данным ассоциации ICSA (International Computer Security Association) на конец 1997 г., заражение корпоративных настольных систем, портативных компьютеров и сетей за год увеличилось в 3 раза, а за два года — в 20 раз. Сейчас подлинным бедствием стали макровирусы (первый макровирус появился в 1997 г., а на май 1998 г. в базе данных Norton AntiVirus уже насчитывалось 1797 макровирусов). В настоящее время макровирусы вызывают эпидемии потому, что они распространяются электронной почтой. С почтовыми сообщениями пересылаются вложенные файлы — документы текстового процессора Word, таблицы Microsoft Excel, которые наиболее подвержены угрозам вирусного заражения.
   Антивирусное программное обеспечение должно отвечать следующим требованиям:
   —  максимальная простота в эксплуатации;
   —  наличие средств, обнаруживающих неизвестные вирусы и обеспечивающих возможность обновления для защиты пользователей от угрозы заражения новейшей версией вируса;
   —  наличие простых и эффективных средств администрирования корпоративного антивирусного программного обеспечения;
   —  совместимость антивирусных средств для настольной системы, группового программного обеспечения, шлюзов и МЭ;
   —  совместимость антивирусных средств с другими сетевыми средствами администрирования и утилитами;
   —  обеспечение антивирусными средствами, предназначенными для защиты передаваемой информации внутри рабочей группы, использующей серверы, сканирование в реальном времени, по расписанию и по запросу.

Рис. 6.9. Архитектура «классического» прокси-сканера вирусов 

Рис. 6.9. Архитектура «классического» прокси-сканера вирусов

   Широко применяются различные антивирусные сканеры. Антивирусный сканер желательно интегрировать с МЭ. При этом с сетевого сервера снимаются функции сканирования файлов и «лечения» зараженных файлов. В данном случае предотвращается не только заражение локальной сети внешними вирусами, но и выход исходящих вирусов за пределы локальной сети. Существуют три базовые архитектуры включения технологии сканирования вирусов в МЭ и шлюзы:
   1.  Использование клиентским программным обеспечением, установленным на каждом рабочем месте, прокси-сервера (сканера) вирусов (рис. 6.9). Прокси-сервер находит данные для клиента, сканирует их на предмет обнаружения вирусов и предоставляет незаряженные данные рабочей станции. При этом локальная сеть должна быть сконфигурирована так, чтобы каждый клиент обязательно использовал прокси-сервер.
   2.  Антивирусный сканер интегрирован с МЭ (рис. 6.10). Все запросы данных перехватывает МЭ, который сканирует данные на наличие вирусов и передает незараженные данные клиентской рабочей станции. Недостаток — МЭ может стать «узким местом», замедляющим работу всей сети.
   3.  МЭ перемещает данные для сканирования на отдельный компьютер — антивирусный сервер (рис. 6. 11). При этом на антивирусный сканер направляются только файлы, которые потенциально могут быть заражены. Графические файлы, например,

Рис. 6.10. Архитектура интеграции антивирусного сканера с брандмауэром 

Рис. 6.10. Архитектура интеграции антивирусного сканера с брандмауэром

 Рис. 6.11. Архитектура с «интеллектуальным сканером»

Рис. 6.11. Архитектура с «интеллектуальным сканером»

сразу передаются на рабочее место. Антивирусный МЭ достаточно гибок, может поддерживать различные правила сканирования для входящих и исходящих потоков информации, он определяет также, что нужно сканировать. Эта архитектура используется продуктом Norton AntiVirus for Firewalls.
   В настоящее время развивается поддержка антивирусных продуктов через Интернет, что приводит к их быстрому реагированию на угрозы новых вирусов. В антивирусной защите вскоре могут произойти изменения — проверка на вирусы через Интернет (создание так называемых электронных больниц), автоматическая проверка провайдерами на наличие вирусов писем с вложениями перед их доставкой.
   IBM разрабатывает так называемую иммунную систему, распознающую новые вирусы и автоматически генерирующую способы их уничтожения (первые версии предназначаются для корпоративных сетей).

Выводы

   Угрозы информационной безопасности — это оборотная сторона использования информационных технологий. Информационная безопасность не сводится исключительно к защите информации. Это многогранная, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход, требующий необходимого сочетания законодательных, организационных и программно-технических мер. Поскольку острота проблемы обеспечения безопасности вычислительных систем и сетей, защиты хранящейся и обрабатываемой в них информации, а также пересылаемых по коммуникационным каналам данных от множества угроз все более растет, органы государственной власти Российской Федерации приняли ряд принципиально важных решений. Разработана Концепция информационной безопасности РФ, приняты ряд новых руководящих документов и т. д. Выбор конкретных механизмов обеспечения безопасности системы производится в соответствии со сформулированной политикой безопасности. Широкое внедрение получили системы, базирующиеся на современных криптографических методах защиты информации (особенно в сетях), на применении межсетевых экранов и др. В связи с интенсивным использованием Интернет-технологий совершенствуются различные программно-аппаратные антивирусные средства. Несмо тря на все возрастающие усилия по созданию технологий защиты данных, их уязвимость не только не уменьшается, но и постоянно возрастает. Поэтому актуальность проблемы, связанной с защитой потоков данных и обеспечением информационной безопасности их обработки и передачи, все более усиливается.

Контрольные вопросы

   1.  Что подразумевается под информационной безопасностью?
   2.  Что такое защита информации?
   3.  Что понимается под понятием «информационная война»?
   4.  Каковы основные укрупненные направления обеспечения информационной безопасности?
   5.  Какие основные мероприятия по обеспечению информационной безопасности и защите информации проводятся в нашей стране?
   6.  Раскройте суть понятий «конфиденциальная информация», «целостность информации», «доступность» и «гарантированность».
   7.  Что такое политика безопасности, какие виды политики безопасности Вы знаете?
   8.  Что такое достоверная вычислительная база, как она организуется и функционирует?
   9.  Раскройте суть понятий «идентификация», «аутентификация», «авторизация»?
   10.  Каковы общие принципы внедрения различных видов политики безопасности?
   11.  В чем суть общей задачи информации в АИС?
   12.  Перечислите наиболее распространенные угрозы безопасности АИС.
   13.  Как оцениваются уровни безопасности и каковы основные нормативные документы в этой области?
   14.  Перечислите основные руководящие документы Гостехкомиссии РФ по защите информации и информационной безопасности.
   15.  В чем заключается организация управления зашитой информации в АИС?
   16.  Каковы основные мероприятия, обеспечивающие защиту информации в ПЭВМ и ЛВС?
   17.  Каковы потенциальные угрозы безопасности в ЛВС?
   18.  Назовите характерные особенности системы защиты информации НДС в ЛВС.
   19.  Каковы основные средства и методы защиты информации, применяемые в телекоммуникационных каналах связи?
   20.  Какие криптографические методы защиты информации Вы знаете, как и где они применяются?
   21.  Что такое межсетевой экран?
   22.  Что Вы знаете о компьютерных вирусах и каковы основные средства и методы защиты от них?

Литература

   Аскеров Т.М. Защита информации и информационная безопасность: Учебное пособие / Под общ. ред. К. И. Курбакова. М.: Рос. экон. акад., 2001. С. 8-66, 69-89, 90-211, 255-283, 284-298, 315-379.

 
< Пред.   След. >