Средства защиты данных

В настоящее время широкой популярностью в России пользуются следующие

антивирусные средства АО "ДиалогНаука":

• полифаг Aidstest;

• ревизор ADinf;

• лечащий блок ADinfExt;

• полифаг для "полиморфиков" Doctor Web.

1.3.3 Средства защиты от компьютерных вирусов

Одна из причин, из-за которых стало возможным такое явление, как

компьютерный вирус, отсутствие в операционных системах эффективных средств

защиты информации от несанкционированного доступа. В связи с этим

различными фирмами и программистами разработаны программы, которые в

определенной степени восполняют указанный недостаток. Эти программы

постоянно находятся в оперативной памяти (являются "резидентными") и

"перехватывают" все запросы к операционной системе на выполнение различных

"подозрительных" действий, т. е. операций, которые используют компьютерные

вирусы для своего "размножения" и порчи информации в компьютере.

При каждом запросе на такое действие на экран компьютера выводится

сообщение о том, какое действие затребовано и какая программа желает его

выполнять. Пользователь может либо разрешить выполнение этого действия,

либо запретить его.

Такой способ защиты не лишен недостатков. Прежде всего резидентная

программа для защиты от вируса постоянно занимает какую-то часть

оперативной памяти компьютера, что не всегда приемлемо. Кроме того, при

частых запросах отвечать на них может надоесть пользователю. И наконец,

имеются виды вирусов, работа которых не обнаруживается резидентными

программами защиты. Однако преимущества этого способа весьма значительны.

Он позволяет обнаружить вирус на самой ранней стадии, когда вирус еще не

успел размножиться и что-либо испортить. Тем самым можно свести убытки от

воздействий компьютерного вируса к минимуму.

В качестве примера резидентной программы для защиты от вируса можно

привести программу VSAFE фирм Carmel и Central Point Software.

Более ранняя диагностика вируса в файлах на диске основана на том, что

при заражении и порче вирусом файлы изменяются, а при заражении, как

правило, еще и увеличиваются в своем размере. Для проверки того, не

изменился ли файл, вычисляется его контрольная сумма — некоторая

специальная функция всего содержимого файла. Для вычисления контрольной

суммы необходимо прочесть весь файл, а это относительно длительный процесс.

В связи с этим, как правило, при обычной проверке на наличие вируса

вычисление контрольной суммы производится только для нескольких особо

важных файлов, а у остальных файлов проверяется лишь их размер, указанный в

каталоге. Подобную проверку наиболее целесообразно производить для файлов

на жестком диске. В качестве программ ранней диагностики компьютерного

вируса могут быть рекомендованы программы CRCLIST и CRCTEST.

Большинство пользователей знают о том, что запись на дискету можно

запретить, заклеив на ней прорезь защиты от записи. Эта возможность широко

используется многими для защиты информации на "эталонных" дискетах,

содержащих архивные файлы, программы и данные, которые могут

использоваться, но не должны меняться. Этот же способ можно применить для

защиты от вирусов рабочей дискеты, в которую не потребуется вводить какую-

либо запись.

Защитить файлы от записи можно и на жестком диске. Для этого поле

памяти диска следует разбить с помощью специальных программ на несколько

частей - условных логических дисков. Если на жестком диске имеется

несколько логических дисков, доступных операционной системе MS DOS, то

некоторые из них можно сделать доступными только для чтения, что также

послужит средством защиты от заражения или порчи вирусом.

Если заранее известно (хотя бы приблизительно), какую часть жесткого

диска могут занимать программы и данные, не изменяемые в процессе

выполнения текущей задачи, то целесообразно разбить жесткий диск на два

логических диска, один из которых отвести для хранения изменяемых программ

и данных, а другой с защитой от записи - для хранения программ и данных,

которые будут использоваться, но не изменяться.

Другой уровень защиты основывается:

- на сегментации жесткого диска с помощью специального драйвера,

обеспечивающего присвоение отдельным логическим дискам атрибута READ ONLY;

- на системе парольного доступа;

- на использовании для хранения ценной информации разделов жесткого

диска, отличных от С и D и не указываемых в PATH. При этом рекомендуется

раздельное хранение исполняемых программ и баз данных.

При правильном размещении операционной системы можно гарантировать,

что после канальной загрузки она не будет заражена резидентным файловым

вирусом. Главное в этом случае - разместить операционную систему в

защищенном от записи разделе, например на диске D. Кроме того, вновь

полученные утилиты нельзя включать в состав этого диска без тщательной

проверки на отсутствие вирусов и прохождения "карантинного" режима хотя бы

в течение месяца.

Если программное изделие получено без сертификата, из сомнительного

источника или не эксплуатировалось в том месте, откуда было получено,

первые несколько дней его полезно эксплуатировать в карантинном режиме с

использованием, если это возможно, ускоренного календаря. Это повышает

вероятность обнаружения "троянской" компоненты, срабатывающей в

определенное время. При работе со вновь поступившими программами

целесообразно употребление специального имени пользователя. Для выбранного

имени все остальные разделы должны быть либо невидимы, либо иметь статус

READ ONLY. При этом для всех компонент операционной системы и некоторых

утилит, используемых как "ловушки" для вируса, следует записать в

соответствующий файл контрольные суммы, вычисленные соответствующей

программой.

Основным средством защиты от вирусов служит архивирование. Другие

методы заменить его не могут, хотя и повышают общий уровень защиты.

Архивирование необходимо делать ежедневно. Архивирование заключается в

создании копий используемых файлов и систематическом обновлении изменяемых

файлов. Для этой цели удобно использовать специально разработанные

программы. Они дают возможность не только экономить место на специальных

архивных дискетах, но и объединять группы совместно используемых файлов в

один архивный файл, в результате чего гораздо легче разбираться в общем

архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов (AT),

главного каталога (MB) и бутсектор. Файлы, создаваемые этими утилитами,

рекомендуется периодически копировать на специальную дискету. Их

резервирование важно не только для защиты от вирусов, но и для страховки на

случай аварийных ситуаций или чьих-то действий, в том числе собственных

ошибок. В целях профилактики для защиты от вирусов рекомендуется:

работа с дискетами, защищенными от записи;

минимизация периодов доступности дискет для записи;

разделение дискет между конкретными ответственными пользователями;

разделение передаваемых и поступающих дискет;

раздельное хранение вновь полученных программ и эксплуатировавшихся ранее;

хранение программ на жестком диске в архивированном виде.

Вновь поступившие программные изделия должны подвергаться входному

контролю - проверке соответствия длины и контрольных сумм в сертификате

полученным длинам и контрольным суммам. Систематическое обнуление первых

трех байтов сектора начальной загрузки на полученных дискетах до их

использования поможет уничтожению "бутовых" вирусов.

Многие программисты и организации разрабатывают собственные или

используют готовые программы для обнаружения и удаления вирусов на своих

компьютерах и дисках. Обнаружение вируса основано на том, что каждая

конкретная версия вируса, как любая программа, содержит присущие только ей

комбинации байтов. Программы-фильтры проверяют, имеется ли в файлах на

указанном пользователем диске специфическая для данного вируса комбинация

байтов. При ее обнаружении в каком-либо файле на экран выводится

соответствующее сообщение. Для обнаружения вирусов также используется

специальная обработка файлов, дисков, каталогов - вакцинирование: запуск

резидентных программ-вакцин, имитирующих сочетание условий, в которых

заработает данный тип вируса и проявит себя.

Существуют также специальные программы удаления конкретного вируса в

зараженных программах. Такие программы называются программами-фагами. С

зараженными файлами программа-фаг выполняет (если это возможно) действия,

обратные тем, которые производятся вирусом при заражении файла, т. е.

делает попытку восстановления файла. Те файлы, которые не удалось

восстановить, как правило, считаются неработоспособными и удаляются.

Следует подчеркнуть, что действия, которые надо предпринять для

обнаружения и удаления вируса, индивидуальны для каждой версии вируса. Пока

не существует универсальной программы, способной обнаружить любой вирус.

Поэтому надо иметь в виду, что заражение вашего компьютера возможно и такой

разновидностью вируса, которая не выявляется известными программами для их

обнаружения.

В настоящее время трудно назвать более или менее точно количество

типов вирусов, так как оно постоянно увеличивается. Соответственно

увеличивается, но с некоторым запаздыванием, и число программ для их

обнаружения.

Проблему защиты информации и программных продуктов от вирусов

необходимо рассматривать в общем контексте проблемы защиты от

несанкционированного доступа. Основной принцип, который должен быть положен

в основу методологии защиты от вирусов, состоит в создании многоуровневой

распределенной системы защиты, включающей приведенные выше средства.

Наличие нескольких уровней позволяет компенсировать недостатки одних

средств защиты достоинствами других. Если вирус обойдет один вид защиты, то

может быть остановлен другим. Для того чтобы избежать появления

компьютерных вирусов, необходимо соблюдать прежде всего следующие меры:

не переписывать программное обеспечение с других компьютеров. Если это

необходимо, то следует принять перечисленные выше меры;

не допускать к работе на компьютере посторонних лиц, особенно если они

собираются работать со своими дискетами;

не пользоваться посторонними дискетами, особенно с компьютерными играми.

1.3.4 Использование нескольких антивирусных программ

Использование одного антивируса может обеспечить надежную защиту, но

здравый смысл подсказывает, что несколько подобных программ значительно

повысят безопасность вашей системы. Именно так и предлагают поступать

руководству отделов информатизации антивирусные форумы в CIS, AOL а также

различные группы новостей (например, comp.vims). Отметим, что при

использовании нескольких программ, каждая из которых имеет свои особенности

(в том числе и недокументированные), путаные или конфликтующие Друг с

другом отчеты не являются большой редкостью. Именно поэтому многим

пользователям приходит в голову мысль, что применение более чем одного

антивируса является плохой идеей. Но это не так! Несмотря ни на что,

преимущества использования нескольких антивирусных программ от различных

разработчиков перевешивают последствия недостаточной защиты. Наиболее

очевидное из них состоит в том, что вы используете более мелкую сеть (или,

если угодно, сложную двойную сеть), через которую не сможет проникнуть

большинство компьютерных вирусов.

Это следует предпринять, если антивирусное ПО обнаружило проникновение

в вашу систему компьютерного вируса. Легко понять, что почти все вирусные

инциденты происходят приблизительно одинаково. Если инфекция является

реальной, то следует провести курс лечения. Если вы обнаружите что вирус не

может быть обезврежен одним антивирусом, то вполне вероятно, что тревога

оказалась ложной. Для проверки наличия этого предполагаемого вируса

воспользуйтесь другой программой. Если и дальнейшая диагностика даст

подобные результаты, то более чем вероятно, что у вас вирус. Найдите способ

лечения или замены зараженных участков.

Однако в некоторых случаях даже с помощью двух антивирусов совсем не

просто выполнить диагностику. Что вы подумаете, если станете, например,

свидетелем следующих событий: продукт Х обнаруживает вирус и не может

излечить зараженные файлы, продукт Y подтверждает сообщение о найденном

вирусе, но также не может удалить его из системы, а продукт L не видит

ничего. Кто попадает в подобные неприятные ситуации, имеет достаточно

веские доказательства наличия компьютерного вируса в системе, но не

располагает механизмами проверки, которые позволили бы быть в этом

абсолютно уверенными.

Несчастному пользователю из предыдущего примера кажется, что жизнь к

нему по-настоящему жестока. Три антивирусных продукта, каждый из которых

может решить эту проблему, не решают ее! Согласитесь, что этот пример

несколько утрирован. Очень редко возникает необходимость в использовании

трех (и более) программ только лишь для обнаружения вируса. Это указывает

лишь на то, что они вполне пригодны и эффективны в качестве антивирусных

средств.

1.3.5 Замена или лечение

До сих пор мы могли видеть, что использование нескольких программ для

поиска компьютерного вируса дает некоторые преимущества. Первое из них

состоит в том, что вторая программа предоставляет возможность подтвердить

(или опровергнуть) факт наличия вируса в системе. Второе преимущество -

более точная диагностика. И хотя мы никогда не получим окончательного

ответа, тем не менее, с каждым последующим тестированием приближаемся к

истине.

Избавление от компьютерных вирусов - спор между уверенностью и

удобством. Уверенность возникает при уничтожении вируса путем удаления или

замены зараженных файлов, при переписывании программы начальной загрузки

и/или любой другой зараженной части файла. Удобство заключается в

возможности манипулировать существующими данными и восстанавливать их в

своей первоначальной форме без замены.

Никто не может оспаривать гарантированную целостность, которую дает

замена, но никто не может отрицать и значительных неудобств, связанных с

этой процедурой. Поиск резервных копий (и желание найти самую последнюю),

их восстановление, настройка — все это занимает много времени.

Сравните это с эффективностью антивирусного ПО, которое может излечить

зараженные участки. Щелчок клавишей мыши или набор необходимой команды с

клавиатуры — и вы избавлены от компьютерного вируса, причем за значительно

меньшее время.

При выборе между лечением или полной заменой, большинство

администраторов систем безопасности склоняются в сторону замены. Отчего же

к лечению столь негативное отношение? После этой процедуры жизнь

продолжается как и прежде - ни беспокойства, ни проблем, если, конечно,

лечение прошло нормально. Часто можно встретить документальные

свидетельства о случаях неправильного лечения, которые порождают

неуверенность в возможностях антивирусов. Из-за некоторых непредвиденных

ситуаций лечение иногда терпит неудачу, и тогда оператор будет иметь как

исправленную, так и незатронутую информацию.

Неправильное лечение редко приводит к фатальным последствиям,

поскольку антивирусы принимают меры предосторожности и могут отличать

"допустимое" лечение от неправильного. По злой иронии, некоторые тонкости в

неправильном лечении, причем совсем не катастрофичные, привели к тому, что

само слово "лечение" воспринимается как бранное.

Один из недостатков использования более одного антивирусного ПО связан

с тем, что при этом открываются лазейки для разработчиков. Если в

излеченном файле присутствуют какие-либо дефекты, то при сравнении с

простым файлом они сразу же заметны. Это подобно написанию любой

компьютерной программы. Если один из соавторов принимал большее участие в

ее создании, то другой будет заявлять, что он мог сделать это лучше.

1.3.6 Меры по предотвращению появления компьютерных вирусов

Множество статей по компьютерным вирусам достаточно подробно

рассматривают вопросы по предупреждению заражения. Тем не менее, следует

отметить недостаток полезной информации на тему "Что делать, если случится

наихудшее?" Иметь дело с внезапным появлением вирусов не составляет особого

удовольствия. К счастью, быть заранее предупрежденным, значит, в данном

случае, быть готовым к отражению атаки. Готовясь к такому событию, можно

свести к минимуму ущерб от разрушительных воздействий.

Для успешной борьбы с вирусным нападением следует провести большую

подготовительную работу. Наиболее важной задачей, о которой, к сожалению,

часто забывают, является контроль за регулярным выполнением процедуры

надежного и правильно управляемого резервного копирования.

В большинстве случаев, наиболее ценной частью компьютера являются

информационные данные, которые хранятся на диске. Они могут оказаться

незаменимыми, а также могут содержать результаты многих недель и даже лет

работы. Очень часто мы по-настоящему начинаем оценивать их важность уже

после того, как потеряем.

Реализация продуманной процедуры резервного копирования представляет

собой средство защиты этих ресурсов. Важность создания резервных копий не

Страницы: 1, 2, 3, 4, 5