Дайте общую характеристику стандартов шифрования данных в США и России.

ГЛАВА 10. КОМПЬЮТЕРНЫЕ ВИРУСЫ И СРЕДСТВА АНТИВИРУСНОЙ ЗАЩИТЫ

10.1. Общие сведения о компьютерных вирусах

Компьютерный вирус как специальный класс саморепродуцирующихся программ может причинить большой вред данным и программному обес­печению компьютерных систем. Он представляет собой специально напи­санную, небольшую по размерам программу, которая может "заражать" другие программы, модифицируя их посредством добавления своей, воз­можно измененной, копии. Однажды внесенный в систему, компьютерный вирус распространяется в ней самостоятельно подобно лавине.

Приблизительно до середины прошлого столетия было распростра­нено мнение, что саморепродукция, также как и мутация, характеризует процесс естественного развития только для живой природы. В конце 40-х -начале 50-х гг. американский математик Джон фон Нейман показал прин­ципиальную возможность саморепродукции искусственных систем. В дальнейшем на этой основе были открыты и саморепродуцирующиеся программы для компьютеров

Одним из ранних примеров подобных программ стала обнаруженная в конце 60-х годов размножающаяся по сети ARPANET программа, из­вестная сегодня как Creeper (Вьюнок). Вьюнок проявлял себя текстовым сообщением: "Я вьюнок,.. поймай меня, если сможешь". Он не причинял вреда ресурсам пораженного компьютера, только лишь беспокоил его вла­дельца. Каким бы безвредным Вьюнок не казался, он впервые показал, что проникновение на чужой компьютер возможно без ведома и против жела­ния его владельцев.

Термин "компьютерный вирус" был введен сравнительно недавно - в середине 80-х годов. В 1984 г. Ф.Коэном на 7-й конференции по безопас­ности информации, проходившей в США, был представлен специальный класс саморепродуцирующихся программ. На основе необычного сходства некоторых свойств этой программы с биологическим вирусом она и была названа компьютерным вирусом. Это сходство с биологическим вирусом обнаруживается по:

- способности к саморазмножению;

- высокой скорости распространения;

- избирательности поражаемых систем;

- способности "заражать" еще не зараженные системы;

- трудности борьбы с вирусами и т.д.

Из-за сходства компьютерных и биологических вирусов вместе с термином "вирус" используются и другие медицинские термины: "зараже­ние", "профилактика", "лечение", "среда обитания" и др.

В последнее время к особенностям, характерным для компьютерных и биологических вирусов, можно добавить еще и постоянно увеличиваю-

 

щуюся быстроту появления новых поколений и модификаций компьютер­ных вирусов.

Если скорость появления биологических вирусов можно объяснить могуществом и бесконечным разнообразием природы, то компьютерные вирусы скоростью своего возникновения обязаны только изобретательно­сти людей определенного склада ума.

Как и биологический вирус, который только при наличии основной клетки может стать активным, компьютерный вирус всегда связан с про­граммой-носителем. Вирусные программы - это небольшие по размерам и трудно обнаруживаемые в КС программы. Такие программы способны к саморепродукции (самовоспроизведению) и могут модифицировать или уничтожать программное обеспечение или данные, хранящиеся в КС. Осо­бенность саморепродукции вирусных программ заключается в том, что их копии вводятся в другую выполняемую или транслируемую программу, а скопированная инфицированная программа переносит копию вируса в другие программы, продолжая и поддерживая процесс его распростране­ния.

Вирусные программы могут существовать в следующих четырех фазах:

- "спячка";

- распространение в КС;

- запуск;

- разрушение программ и данных или какие-либо другие негативные

эффекты.

Фаза "спячки" может использоваться разработчиком вирусной про­граммы для создания у пользователя уверенности в правильной работе КС.

Фаза распространения обязательна для любой программы-вируса. В этой фазе в процессе загрузки и выполнения программы, зараженной виру­сом, происходит заражение других программ путем многократного само­копирования вируса в другие программы и системные области.

Запуск вируса осуществляется, как правило, после некоторого собы­тия, например наступления определенной даты или заданного числа копи­рований.

В последней фазе происходит разрушение программ и данных или какие-либо другие негативные действия, предусмотренные автором виру­са.

В настоящее время в мире зарегистрировано более 40 тыс. компью­терных вирусов. Большинство вирусов, обнаруженных на сегодняшний день в России и за рубежом, ориентированы на действие в среде опреде­ленных операционных систем. Наибольшее распространение они получили

в персональных ЭВМ.

Некоторые вирусы не представляют серьезной опасности, являются по существу безвредными и созданы не злонамеренно, а ради шутки или эксперимента с существующей техникой.

Вместе с тем, многие вирусы называют не только снижение эффективности работы КС, но и приводят к опасным нарушениям целостности, конфиденциальности и доступности информации.

Описание фактов вирусного заражения компьютерных систем, в том числе и с достаточно серьезными последствиями, постоянно освещаются в прессе и других средствах массовой информации. При этом количество инцидентов, связанных с вирусами, вероятно, превосходит, опубликованные цифры, поскольку многие фирмы умалчивают о вирусных атаках, не желая повредить своей репутации и привлечь внимание хакеров.

10.2. Классификация компьютерных вирусов

Все компьютерные вирусы могут быть классифицированы по следующим признакам:

- по среде обитания;

- по способу заражения среды обитания;

- по деструктивным возможностям;

- по особенностям алгоритма функционирования;

В зависимости от среды обитания вирусы бывают сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы внедряются в загрузочные сектора (области) внешних запоминающих устройств.

По способу заражения компьютерные вирусы делятся на резидентные и нерезидентные. Резидентные вирусы после их инициализации полностью или частично перемещаются из среды обитания (сеть, загрузочные сектор, файл) в оперативную память ЭВМ, где могут находится продолжительное время, отслеживая появление доступной для заражения жертвы. В отличие от резидентных вирусов нерезидентные вирусы попадают в оперативную память ЭВМ только на время активности, в течение которого выполняют деструктивную функцию. Затем вирусы полностью покидают вместе с программой-носителем оперативную память, оставаясь в среде обитания.

Арсенал деструктивных или вредительных возможностей компьютерных вирусов весьма обширен и зависит от целей и квалификации их создателей, а также от особенностей компьютерных систем.

По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:

- безвредные;

- неопасные;

- опасные;

- очень опасные;

Безвредные компьютерные вирусы практически не влияют на работу КС. Их авторы не ставят перед собой цель нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои возможности

 

 

программиста. Для таких людей создание компьютерных вирусов - это своеобразная попытка самоутверждения.

Неопасные вирусы также не причиняют серьезного ущерба ресурсам КС. Они лишь уменьшают свободную память компьютера. Деструктивное воздействие таких вирусов сводится к выводу на экран монитора шуточ­ных текстов и картинок, исполнению музыкальных фрагментов и т.п.

К опасным относятся вирусы, которые вызывают существенное сни­жение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устрой­ствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов яв­ляются вирусы, занимающие память ЭВМ и каналы связи, но не блоки­рующие работу сети; вирусы, вызывающие необходимость повторного вы­полнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.

Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе путем шифрования) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу технических средств и нано­сящие вред здоровью пользователей.

Известны вирусы, вызывающие неисправности технических средств КС. Например, с помощью программы-вируса может возникнуть такой ре­жим работы электромеханических устройств, при котором на резонансной частоте происходит разрушение их движущихся частей. Может быть также задан режим интенсивного использования отдельных интегральных схем, при котором наступает их перегрев и выход из строя.

Возможны также воздействия на психику пользователя с помощью специально подобранных видеоизображений, выдаваемых на экран мони­тора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсозна­тельном уровне. В результате такого воздействия может быть нанесен серьезный ущерб психике человека.

В зависимости от особенностей алгоритма функционирования вирусы можно разделить на два класса:

- вирусы, не изменяющие среду обитания при распространении;

- вирусы, изменяющие среду обитания.

В свою очередь, вирусы, не изменяющие среду обитания, можно раз­делить на две группы:

- вирусы-"спутники";

- вирусы-"черви".

Вирусы-"спутники" не изменяют файлы, а создают копии для фай­лов, имеющих расширение.ЕХЕ. Копии присваивается го же имя, что и исполняемому файлу, но расширение изменяется на.СОМ. При запуске файла с общим именем операционная система первым загружает на вы-

полнение файл с расширением.СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением.ЕХЕ.

Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети я передают вирусы.

По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:

- студенческие;

- "стелс"-вирусы (вирусы-невидимки);

- полиморфные.

К студенческим относятся вирусы, создатели которых имеют невы­сокую квалификацию. Такие вирусы, как правило, являются нерезидент­ными, довольно просто обнаруживаются и удаляются.

"Стелс"-вирусы и полиморфные вирусы создаются

квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

"Стелс"-вирусы могут быть только резидентными. Они обычно мас­кируют свое присутствие в среде обитания под программы операционной системы. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается программам операционной системы, обраба­тывающим эти прерывания. В некоторых случаях "стелс"-вирусы способ­ны противодействовать антивирусным программам, периодически контро­лирующим целостность данных. Они могут изменить алгоритм самой про­граммы контроля целостности таким образом, чтобы она всегда выдавала положительный результат проверки.

Полиморфные вирусы, в отличие от большинства обычных вирусов, не имеют постоянных опознавательных групп символов-сигнатур. Обыч­ные вирусы используют на стадии распространения такие сигнатуры, раз­мещая их в зараженном файле или секторе для того, чтобы избежать мно­гократного заражения одних и тех же объектов, поскольку при этом значи­тельно возрастает вероятность обнаружения вируса. Полиморфные вирусы используют для защиты от изучения и обнаружения средства шифрования. При этом полиморфные вирусы при создании каждой новой копии (т.е. при распространении) обладают способностью изменяться (мутировать) настолько, что их практически невозможно идентифицировать. Для этого, кроме шифрования, используются различные "механизмы мутации" кода вирусной программы.

10.3. Механизмы заражения компьютерными вирусами

Механизм заражения компьютерным вирусом зависит от среды его обитания, т.е. от того, является данный вирус файловым или загрузочным.

Файловые вирусы используют в качестве своего носителя исполняе­мые файлы. К ним относятся файлы, состоящие из команд операционной системы, файлы пользовательских и системных программ в машинных ко­дах, а также исполняемые с помощью макрокоманд программы, автомати­зирующие работу с документами и таблицами (например, MS Word, MS Office, MS Excel).

Файловые вирусы могут размещаться в начале, середине или конце заражаемого файла.

Если код вируса располагается в начале заражаемой программы, то тело самой программы оттесняется и приписывается к концу файла. Наря­ду с оттеснением про1раммы может применяться вытеснение программы без сохранения ее содержимого. Такая программа становится «убитой на­смерть» и не может быть восстановлена никакими антивирусными средст­вами.

Подобным образом реализуется механизм заражения при размеще­нии вирусного кода в середине программы. Из середины файла «изымает­ся» фрагмент программы, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Возмож­но также внедрение вируса в середину файла без сохранения участка, на место которого помещается вирус.

Чаще всего вирус внедряется путем приписывания его в конец фай­ла. При этом, как и в случае с внедрением вируса в середину файла, первые команды файла должны быть заменены командами перехода на тело виру­са.

Деструктивная функция вируса, как правило, проявляется не сразу. Как и при настоящей вирусной инфекции, при заражении компьютерным вирусом имеется «инкубационный» период, на протяжении которого виру­сы только размножаются, никак не проявляя себя. Заражая новые про­граммы, вирусы стараются сохранить их работоспособность, с тем чтобы не выдать свое присутствие.

Инициирование деструктивной функции вируса может осуществ­ляться при выполнении определенных условий, например в случае реали­зации заданного числа заражений программ, при наступлении определен­ной даты, при обращении операционной системы к некоторому ресурсу и

т.д.

Особое место среди файловых вирусов занимают так называемые макровирусы. В отличие от программных вирусов, макровирусы заражают файлы не программ, а данных. Это возможно, если формат хранения дан­ных допускает использование макрокоманд для более удобного представ­ления информации. Например, файлы текстового редактора MS Word, таб-

личного процессора MS Excel могут содержать макрокоманды на языке Visual Basic. Макровирусы представляют собой вредительские программы, написанные на макроязыке, встроенном в текстовый редактор, табличный процессор или другой пакет программных средств. При использовании этих средств для выполнения определенных действий над файлами (от­крытие, сохранение, закрытие и т.д.) автоматически выполняются соответ­ствующие макропрограммы файлов. При этом получают управление и макровирусы, написанные на том же макроязыке, причем такое управление они получают либо автоматически, либо при выполнении определенных условий (например, при выборе определенной клавиши). Работая в «зара­женном» редакторе (процессоре) с другим файлом, последний также зара­жается.

Многие макровирусы можно рассматривать как резидентные, так как обычно такие вирусы находятся в оперативной памяти и осуществляют не­гативное воздействие на редактируемые документы, начиная с момента за­грузки зараженных данных до момента завершения работы редактора дан­ных.

В отличие от макровирусов, большинство других файловых вирусов относится к числу нерезидентных. Это связано с чем, что такие вирусы ис­пользуют в качестве носителя не файлы данных, а программные файлы, а поэтому находятся в оперативной памяти только на время инициализации программ, после чего покидают ее вместе с программой-носителем.

Загрузочные вирусы с учетом механизма их распространения (зара­жения) относятся к числу резидентных. Загрузочные вирусы размещаются в загрузочных (Boot) секторах гибких магнитных дисков, а также в облас­ти, предназначенной для хранения главной загрузочной записи (MBR) же­стких дисков.

Если диск, с которого производится загрузка операционной системы, заражен загрузочным вирусом, то этот вирус первым получает управление, переписывает сам себя в оперативную память, тем самым резидентно за­ражая компьютер. Только после этого копируется загрузочный сектор дис­ка и ему передается управление. В дальнейшем активный вирус, постоянно находясь в ОП, будет заражать загрузочные сектора всех еще не заражен­ных гибких дисков, замещая в них программу начальной загрузки своей головкой (заголовком) и получая соответствующее управление. Такое за­ражение может произойти даже в том случае, если дискету просто встави­ли в дисковод зараженного компьютера и, например, прочитали ее оглав­ление. Распространение загрузочных вирусов происходит наиболее часто при перезагрузке операционной системы после так называемых "зависа­ний" или отказов ЭВМ.

С точки зрения механизма распространения загрузочные вирусы об­ладают гораздо меньшими возможностями по сравнению с программными файловыми вирусами. Для последних всегда имеется достаточно большое количество программ, доступных для заражения. Загрузочным вирусам

 

 

приходится дожидаться того момента, когда в дисковод будет помещен не защищенный от записи и еще не зараженный носитель информации.

10.4. Методы и средства защиты от компьютерных вирусов

Необходимость разработки и использования специальных антиви­русных средств вызвана массовым распространением и серьезными по­следствиями воздействия на ресурсы КС компьютерных вирусов. Эффек­тивность защиты от компьютерных вирусов существенно повышается при совместном применении как антивирусных программно-аппаратных средств, так и организационно-профилактических мер.

Антивирусные программные и программно-аппаратные средства применяются для решения следующих основных задач:

- обнаружение вирусов в КС;

- блокирование работы программ-вирусов;

- удаление вирусов и восстановление ресурсов КС.
Существующие в настоящее время программные средства антиви­-

русной защиты бывают следующих видов:

- программы-детекторы;

- программы-фильтры;

- программы-ревизоры;

- программы-доктора, или фаги;

- программы-вакцины или иммунизаторы.
Программы-детекторы позволяют обнаружить только те вирусы,

которые известны разработчикам таких программ. С этой целью осуществ­ляется поиск путем сканирования характерного для конкретного вируса опознавательного кода (сигнатуры). При обнаружении вируса программа-детектор выводит на экран соответствующее сообщение. Примером такой программы может быть популярный американский антивирус Norton Anti­virus 2000 (NAV), существующий в Windows- и DOS-версиях. Ежемесячно обновляемая база данных этой программы содержит более 40 тыс. записей, отражающих характерные признаки существующих вирусов.

Для обнаружения вирусов используются программы-фильтры и про­граммы-ревизоры.

Программы-фильтры, или "сторожа", представляют собой неболь­шие резидентные программы, которые обнаруживают подозрительные действия при работе компьютера, характерные для вируса. Это могут быть, например, попытки изменения атрибутов файла. При обнаружении таких действий «сторож» посылает пользователю соответствующее сообщение. Достоинством программ-фильтров является их способность к обнаруже­нию вирусов на самой ранней стадии существования, т.е. до размножения. Примером программы-фильтра является программа Vsafe, входящая в со­став пакета утилит MS DOS. К недостаткам программ-сторожей можно от-

нести их "назойливость" (например, они постоянно выдают предупрежде­ние о любой попытке копирования исполняемого файла), что мешает рабо­те и вызывает раздражение пользователей.

Наиболее надежным средством обнаружения вирусов являются про­граммы-ревизоры. Эти программы запоминают исходное состояние про­грамм, каталогов и системных областей диска тогда, когда компьютер еще не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. По результатам ревизии про­грамма выдает сведения о предположительном наличии вирусов.

Основным достоинством данного программного средства является возможность обнаружения вирусов всех типов, а также неизвестных виру­сов. Исключение составляют макровирусы, для обнаружения которых про­граммы-ревизоры непригодны, так как текстовые и табличные данные дос­таточно часто изменяются. С помощью программ-ревизоров невозможно также определить вирус в файлах, которые поступают в систему уже зара­женными. Такие вирусы обнаруживаются только после размножения в сис­теме.

К числу программ-ревизоров относится, например, широко распро­страненная в России программа Adinf.

Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничто­жая их, и только затем переходят к «лечению» файлов. Среди фагов выде­ляют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Антивирусы-полифаги исторически появились первыми и до сих пор удерживают несомненное лидерство в этой области,

К числу подобных программ раннего поколения относится программа-полифаг Aidstest, первая версия которой была выпущена еще в 1988 г. Первоначально антивирусы-полифаги работали по очень простому прин­ципу: осуществляли последовательный просмотр (сканирование) файлов на предмет нахождения в них сигнатур известных вирусных программ. Ес­ли такая сигнатура была обнаружена, то производилась процедура удале­ния вирусного кода из тела программы или документа.

Последующее значительное усложнение вирусных программ, увели­чение их общего количества вызвали необходимость совершенствования антивирусных средств. Про1раммы-доктора стали использовать для обна­ружения вирусов эвристические анализаторы.

Сущность эвристического анализа состоит в проверке возможных сред обитания дисков и выявлении в них команд, а значит и действий, ха­рактерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя операционную систему. Эвристические анализаторы при

 

обнаружении «подозрительных» команд в файлах или загрузочных секто­рах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно заражен­ные файлы и загрузочные сектора всеми имеющимися антивирусными

средствами.

Эвристический анализатор имеется, например, в антивирусной про­грамме Doctor Web. Одной из самых популярных в России антивирусных программ, имеющих эвристический анализатор, является программа Anti­viral Toolkit Pro 3.0 (AVP). На данный антивирус выходит еженедельное обновление, в его базе более 30 тыс. записей. Программа AVP относится к классу детекторов-докторов и является одним из лидеров антивирусных программ на российском рынке.

В отсутствие программ-докторов, осуществляющих "лечение" от ви­русов, применяются программы-вакцины, или иммупизаторы, предот­вращающие заражение файлов. Для этого соответствующая вакцина модифицирует программу таким образом, чтобы это не отражалось на ее работе, а вирус в нес не внедрялся, воспринимая ее как уже зараженную. В настоящее время программы-вакцины имеют ограниченное применение.

10.5. Профилактика заражения вирусами компьютерных систем

Эффективное противодействие компьютерным вирусам не должно ограничиваться только применением соответствующих антивирусных средств для их своевременного обнаружения и уничтожения. Большое зна­чение здесь имеют профилактические меры и мероприятия, изначально препятствующие заражению КС вирусами. Сущность такой профилактики обычно сводится к соблюдению определенных правил, уже показавших на реальном опыте свою эффективность.

Прежде всего, необходимо использовать в работе лицензионные программные продукты, полученные официальным законным путем. Ве­роятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.

Следует оснастить компьютер современными антивирусными про­граммами и постоянно обновлять их версии. Если не обновлять файлы сигнатур вирусов, то рано или поздно можно оказаться беззащитным про­тив новых вирусов. Старое антивирусное программное обеспечение по­добно лекарству с истекшим сроком годности.

В особо ответственных случаях для борьбы с вирусами необходимо использовать не только программные, но и аппаратно-программные анти­вирусные средства, представленные специальными контроллерами с соот­ветствующим программным обеспечением. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему кон­тролировать все обращения к дисковой системе. Для этого в программном

 

обеспечении контроллера запоминаются области на дисках, изменение ко­торых в обычных режимах работы не допускается. Аппаратно-программные антивирусные средства работают постоянно и обнаруживают все вирусы, независимо от механизма их действия. При возникновении за­претных действий любой программой контроллер выдает сообщение поль­зователю и блокирует работу компьютера. Примером аппаратно-программной защиты может служить комплекс Sheriff.

Программные антивирусные средства должны регулярно использо­ваться для входного контроля новых съемных носителей информации, а также всех исполняемых файлов, получаемых из компьютерных сетей. Для такой проверки целесообразно использовать специально выделенные для этой цели компьютеры. Только после всесторонней антивирусной провер­ки дисков и файлов они могут передаваться пользователям компьютерной системы.

Необходимо периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы с защищенной от записи дискеты для тестирования файлов и системных областей этих дис­ков. При этом должна быть предварительно загружена операционная сис­тема с защищенной от записи системной дискеты.

Следует также всегда защищать свои дискеты от записи при работе на других компьютерах, если на них не требуется производить запись ин­формации. При использовании магнитных дискет 3,5 дюйма для этого достаточно открыть квадратное отверстие.

Важным профилактическим средством является дублирование ин­формации. Прежде всего, необходимо создавать дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует также позаботиться о сохранении наиболее ценной рабочей ин­формации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях с защитой от записи. Если создается ко­пия на несъемном носителе, то желательно ее создавать на других накопи­телях или ЭВМ.

Постоянное следование приведенным профилактическим рекомен­дациям позволяет значительно уменьшить вероятность заражения компью­терными вирусами, а также защищает пользователя от безвозвратных по­терь информации.

Контрольные вопросы

1. Что представляет собой компьютерный вирус? Укажите его формаль­ные сходства с биологическим вирусом.

2. В каких фазах может существовать компьютерный вирус?

3. Назовите признаки классификации компьютерных вирусов.

 

4. Чем отличаются файловые и загрузочные вирусы? Какие из них явля­ются обычно резидентными?

5. Поясните принцип действия вирусов-"спутников", "стелс"-вирусов и полиморфных вирусов.

6. Рассмотрите механизм заражения файловыми вирусами. Какими осо­бенностями обладают макровирусы?

7. Как реализуются резидентные функции загрузочного вируса с точки зрения его распространения?

8. Дайте общую характеристику методов и средств, используемых для обнаружения компьютерных вирусов.

9. Рассмотрите антивирусные средства типа полифагов.

10. Поясните сущность эвристического анализа, применяемого для удале­ния вирусов.

11. Какие программные средства используются для предотвращения зара-

жения файлов вирусами?

12. Основные меры, принимаемые для профилактики заражения вирусами КС.

 

 

ГЛАВА 11. СТАНДАРТЫ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

11.1. Общая характеристика систем стандартизации в области защиты информации

В настоящее время имеет большое значение система стандартов и иных нормативных документов, используемых в большинстве развитых стран и устанавливающих требования к защищенности информации в ком­пьютерных системах. В большинстве случаев эти требования задаются пе­речнем механизмов защиты, которые необходимо иметь в КС для того, чтобы она соответствовала определенному классу защиты.

Такие стандарты необходимы производителям, чтобы они знали тре­бования, предъявляемые к защищенным системам, и учитывали их в своих разработках. Пользователи с помощью стандартов могут оценить степень доверия КС, выбираемой для обработки информации. Кроме того, совре­менные стандарты позволяют пользователям самим принимать участие в разработке требований к защищенным системам и таким образом доводить до производителей свои потребности в средствах защиты, способных ре­шать поставленные задачи в заданных условиях. Специалисты по защите информации благодаря стандартам получают возможность использовать согласованную терминологию, а также методики, позволяющие анализи­ровать и оценивать защищенность КС.

В качестве объектов стандартизации рассматриваются средства вы­числительной технологии (СВТ), компьютерные системы, информацион­ные технологии и т.п. В работах, проводимых в области стандартизации, исключительно важным является международный опыт. Несмотря на то, что в нашей стране государственные нормативные документы в области защиты информации, обрабатываемой средствами вычислительной техни­ки, начали разрабатываться ещё в 60-е годы, комплексный документ по этому направлению впервые появился в США, где в 1983 г. были опубли­кованы "Критерии оценки безопасности компьютерных систем" (Trusted Computer System Evaluation Criteria, TCSEC), разработанные Министерст­вом обороны США. За данным документом закрепилось неформальное на­звание "Оранжевая книга", так как первоначально он был опубликован в виде книги в оранжевой обложке. Критерии TCSEC явились первым от­крытым стандартом в области безопасности компьютерных систем. Все последующие стандарты разрабатывались под его влиянием и с учетом опыта его использования.

В 1991 г. страны Европы (Франция, Германия, Великобритания и Голландия) приняли согласованный документ под названием "Information Technology Security Evaluation Criteria, ITSEC".

Определенным аналогом перечисленных стандартов в отечественной практике являются руководящие документы, разработанные в 1992 г. Гос-техкомиссией при Президенте РФ. Данные документы касаются, в основ­ном, проблемы защиты информации от несанкционированного доступа, ко­торая является только частью общей проблемы информационной безопасно­сти.

В 1999 г. Международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности при­няты "Общие критерии безопасности информационных технологий" (Common Criteria for Information Technology Security Evaluation) - ISO/IEC 15408-99. При работе над "Общими критериями" учитывался опыт разра­ботки уже известных ранее стандартов TCSEC и 1TSEC. Данный междуна­родный стандарт предполагается обновлять с периодичностью в 3-5 лет. В настоящее время уже готовится третья версия критериев.

11.2. Критерии оценки безопасности компьютерных систем Министерства обороны США

Данные критерии, или стандарт TCSEC, получившие название "Оранжевая книга", ориентированы на обеспечение безопасности инфор­мации в компьютерных системах. При этом понятие «обеспечение безо­пасности информации» основывается на следующем предположении: ком­пьютерная система является безопасной, если она обеспечивает контроль за доступом к информации так, что только уполномоченные лица или про­цессы, функционирующие от их имени, имеют право читать, писать, соз­давать или уничтожать информацию.

Из этого предположения вытекают шесть фундаментальных требо­ваний к защищенным КС. Первые четыре требования касаются того, что необходимо предусмотреть для управления доступом к информации, а два последних призваны обеспечить гарантию того, что система удовлетворяет требованиям с первого по четвертое.

⇐ Предыдущая12345678Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: