АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Классификация методов защиты от компьютерных вирусов

Читайте также:
  1. I. Отчисления в Государственный Фонд социальной защиты населения Минтруда и социальной защиты РБ (Фонд соц. защиты).
  2. IV.1. Общие начала частной правозащиты и судебного порядка
  3. IX.4. Классификация наук
  4. MxA классификация
  5. VII. По степени завершенности процесса воздействия на объекты защиты
  6. А) совокупность предусмотренных законодательством видов и ставок налога, принципов, форм и методов их установления.
  7. Автоматическая блокировка защиты
  8. Аденовирусная инфекция. Этиология, патогенез, классификация, клиника фарингоконъюнктивальной лихорадки. Диагностика, лечение.
  9. Акустические колебания, их классификация, характеристики, вредное влияние на организм человека, нормирование.
  10. Анализ отечественного рынка средств защиты информации
  11. Аналитические методы при принятии УР, основные аналитические процедуры, признаки классификации методов анализа, классификация по функциональному признаку.
  12. Аппаратные средства защиты информационных систем

 

Проблему защиты от вирусов необходимо рассматривать в об­щем контексте проблемы защиты информации от несанкциониро­ванного доступа и технологической и эксплуатационной безопаснос­ти компьютерных технологий в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной сис­темы защиты, включающей:

— регламентацию проведения работ на ПЭВМ;

— применение программных средств защиты;

— использование специальных аппаратных средств защиты.

При этом количество уровней защиты зависит от ценности ин­формации, которая обрабатывается на ПЭВМ.

Для защиты от компьютерных вирусов в настоящее время ис­пользуются методы, указанные на рис. 8.3.


 

  Терапия    
Архиви­рование Методы защиты от компьютерных вирусов   Авто­контроль  
Входной контроль Вакци­нация  
Профи­лактика Фильт­рация  
  Ревизия Карантин Сегмен­тация  
           

Рис. 8.3. Методы защиты от компьютерных вирусов

Архивирование. Заключается в копировании системных облас­тей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов за­щиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.

Входной контроль. Проверка всех поступающих программ де­текторами, а также проверка длин и контрольных сумм вновь по­ступающих программ на соответствие значениям, указанным в до­кументации. Большинство известных файловых и бутовых виру­сов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно за­пускаемых программ). Набор детекторов достаточно широк и по­стоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распоз­наваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т. д.). Подозрительным является отсутствие в последних 2—3 Кб файла текстовых строк — это может быть признаком вируса, кото­рый шифрует свое тело.

Рассмотренный контроль может быть выполнен с помощью спе­циальной программы, которая работает с базой данных «подозри­тельных» слов и сообщений и формирует список файлов для даль­нейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном ре­жиме. При этом целесообразно использовать ускорение календаря, т. е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определен­ные дни недели (пятница, 13-е число месяца, воскресенье и т. д.).

Профилактика. Для профилактики заражения необходимо орга­низовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, ми­нимизацию периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.

Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыва­нием информации, а также периодический контроль состояния си­стемных файлов.

Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Для этих целей целесообразно выделить специальную ПЭВМ, на кото­рой не проводятся другие работы. В случае невозможности выде­ления ПЭВМ для карантина программного обеспечения для этой цели используется машина, отключенная от локальной сети и не содержащая особо ценной информации.

Сегментация. Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выпол­няемые программы и системные файлы. Базы данных должны хра­ниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми ви­русами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегмен­тацией и основан на разделении магнитного диска с помощью спе­циального драйвера, обеспечивающего присвоение отдельным ло­гическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защи­щенные от записи разделы диска помещаются исполняемые про­граммы и системные утилиты, а также системы управления база­ми данных и трансляторы, т. е. компоненты программного обеспе­чения, наиболее подверженные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которые позволяют не только разбить диск на разделы, но и организовать доступ к ним с помощью паро­лей. Количество используемых логических томов и их размеры за­висят от решаемых задач и объема винчестера. Рекомендуется ис­пользовать 3—4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлы, командный процессор, а так­же программы-ловушки).

Фильтрация. Заключается в использовании программ-сторо­жей для обнаружения попыток выполнить несанкционированные действия.

Вакцинация. Специальная обработка файлов и дисков, имити­рующая сочетание условий, которые используются некоторым ти­пом вируса для определения, заражена уже программа или нет.

Автоконтроль целостности. Заключается в использовании спе­циальных алгоритмов, позволяющих после запуска программы оп­ределить, были ли внесены изменения в ее файл.

Терапия. Предполагает дезактивацию конкретного вируса в за­раженных программах специальными программами (фагами). Про­граммы-фаги «выкусывают» вирус из зараженной программы и пытаются восстановить ее код в исходное состояние (состояние до момента заражения). В общем случае технологическая схема за­щиты может состоять из следующих этапов:

— входной контроль новых программ;

— сегментация информации на магнитном диске;

— защита операционной системы от заражения;

— систематический контроль целостности информации.

Необходимо отметить, что не следует стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это су­щественно затрудняет работу, снижает производительность сис­темы и в конечном счете ухудшает защиту из-за частой работы в открытом режиме. Анализ показывает, что только 20—30% фай­лов должны быть защищены от записи.

Анализ рассмотренных методов и средств защиты показывает, что эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный про­граммный комплекс, поддерживающий рассмотренную техноло­гию защиты. В состав программного комплекса должны входить компоненты, указанные на рис. 8.4.

  Семейство (батарея) детекторов  
Программа – ловушка вирусов Программный комплекс защиты от компьютерных вирусов Программа для вакцинации
  База данных о вирусах и их характеристиках Резидентные средства защиты  
       

 

Рис. 8.4. Состав программного комплекса защиты от компьютерных вирусов

Семейство (батарея) детекторов. Детекторы, включенные в се­мейство, должны запускаться из операционной среды комплекса. При этом должна быть обеспечена возможность подключения к се­мейству новых детекторов, а также указание параметров их за­пуска из диалоговой среды. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.

Программа — ловушка вирусов. Данная программа порождает­ся в процессе функционирования комплекса, т. е. не хранится на диске, поэтому оригинал не может быть заражен. В процессе тес­тирования ПЭВМ программа-ловушка неоднократно выполняется, изменяя при этом текущую дату и время (организует ускоренный календарь). Наряду с этим программа-ловушка при каждом запус­ке контролирует свою целостность (размер, контрольную сумму, дату и время создания). В случае обнаружения заражения про­граммный комплекс переходит в режим анализа зараженной про­граммы-ловушки и пытается определить тип вируса.

Программа для вакцинации. Предназначена для изменения среды функционирования вирусов таким образом, чтобы они теря­ли способность к размножению. Известно, что ряд вирусов помеча­ет зараженные файлы для предотвращения повторного зараже­ния. Используя это свойство, возможно создание программы, кото­рая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.

База данных о вирусах и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе вход­ного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наибо­лее эффективных детекторов и фагов для лечения от конкретного типа вируса.

Резидентные средства защиты. Эти средства могут резидентно разместиться в памяти и постоянно контролировать целостность системных файлов и командного процессора. Проверка может вы­полняться по прерываниям от таймера или при выполнении опера­ций чтения и записи в файл.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)