Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Классификация методов защиты от компьютерных вирусов





 

Проблему защиты от вирусов необходимо рассматривать в об­щем контексте проблемы защиты информации от несанкциониро­ванного доступа и технологической и эксплуатационной безопаснос­ти компьютерных технологий в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной сис­темы защиты, включающей:

— регламентацию проведения работ на ПЭВМ;

— применение программных средств защиты;

— использование специальных аппаратных средств защиты.

При этом количество уровней защиты зависит от ценности ин­формации, которая обрабатывается на ПЭВМ.

Для защиты от компьютерных вирусов в настоящее время ис­пользуются методы, указанные на рис. 8.3.


 

  Терапия    
Архиви­рование Методы защиты от компьютерных вирусов   Авто­контроль  
Входной контроль Вакци­нация  
Профи­лактика Фильт­рация  
  Ревизия Карантин Сегмен­тация  
           

Рис. 8.3. Методы защиты от компьютерных вирусов

Архивирование. Заключается в копировании системных облас­тей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов за­щиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.

Входной контроль. Проверка всех поступающих программ де­текторами, а также проверка длин и контрольных сумм вновь по­ступающих программ на соответствие значениям, указанным в до­кументации. Большинство известных файловых и бутовых виру­сов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно за­пускаемых программ). Набор детекторов достаточно широк и по­стоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распоз­наваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т. д.). Подозрительным является отсутствие в последних 2—3 Кб файла текстовых строк — это может быть признаком вируса, кото­рый шифрует свое тело.

Рассмотренный контроль может быть выполнен с помощью спе­циальной программы, которая работает с базой данных «подозри­тельных» слов и сообщений и формирует список файлов для даль­нейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном ре­жиме. При этом целесообразно использовать ускорение календаря, т. е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определен­ные дни недели (пятница, 13-е число месяца, воскресенье и т. д.).

Профилактика. Для профилактики заражения необходимо орга­низовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, ми­нимизацию периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.

Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыва­нием информации, а также периодический контроль состояния си­стемных файлов.

Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Для этих целей целесообразно выделить специальную ПЭВМ, на кото­рой не проводятся другие работы. В случае невозможности выде­ления ПЭВМ для карантина программного обеспечения для этой цели используется машина, отключенная от локальной сети и не содержащая особо ценной информации.

Сегментация. Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выпол­няемые программы и системные файлы. Базы данных должны хра­ниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми ви­русами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегмен­тацией и основан на разделении магнитного диска с помощью спе­циального драйвера, обеспечивающего присвоение отдельным ло­гическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защи­щенные от записи разделы диска помещаются исполняемые про­граммы и системные утилиты, а также системы управления база­ми данных и трансляторы, т. е. компоненты программного обеспе­чения, наиболее подверженные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которые позволяют не только разбить диск на разделы, но и организовать доступ к ним с помощью паро­лей. Количество используемых логических томов и их размеры за­висят от решаемых задач и объема винчестера. Рекомендуется ис­пользовать 3—4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлы, командный процессор, а так­же программы-ловушки).

Фильтрация. Заключается в использовании программ-сторо­жей для обнаружения попыток выполнить несанкционированные действия.

Вакцинация. Специальная обработка файлов и дисков, имити­рующая сочетание условий, которые используются некоторым ти­пом вируса для определения, заражена уже программа или нет.

Автоконтроль целостности. Заключается в использовании спе­циальных алгоритмов, позволяющих после запуска программы оп­ределить, были ли внесены изменения в ее файл.

Терапия. Предполагает дезактивацию конкретного вируса в за­раженных программах специальными программами (фагами). Про­граммы-фаги «выкусывают» вирус из зараженной программы и пытаются восстановить ее код в исходное состояние (состояние до момента заражения). В общем случае технологическая схема за­щиты может состоять из следующих этапов:

— входной контроль новых программ;

— сегментация информации на магнитном диске;

— защита операционной системы от заражения;

— систематический контроль целостности информации.

Необходимо отметить, что не следует стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это су­щественно затрудняет работу, снижает производительность сис­темы и в конечном счете ухудшает защиту из-за частой работы в открытом режиме. Анализ показывает, что только 20—30% фай­лов должны быть защищены от записи.

Анализ рассмотренных методов и средств защиты показывает, что эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный про­граммный комплекс, поддерживающий рассмотренную техноло­гию защиты. В состав программного комплекса должны входить компоненты, указанные на рис. 8.4.

  Семейство (батарея) детекторов  
Программа – ловушка вирусов Программный комплекс защиты от компьютерных вирусов Программа для вакцинации
  База данных о вирусах и их характеристиках Резидентные средства защиты  
       

 

Рис. 8.4. Состав программного комплекса защиты от компьютерных вирусов

Семейство (батарея) детекторов. Детекторы, включенные в се­мейство, должны запускаться из операционной среды комплекса. При этом должна быть обеспечена возможность подключения к се­мейству новых детекторов, а также указание параметров их за­пуска из диалоговой среды. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.

Программа — ловушка вирусов. Данная программа порождает­ся в процессе функционирования комплекса, т. е. не хранится на диске, поэтому оригинал не может быть заражен. В процессе тес­тирования ПЭВМ программа-ловушка неоднократно выполняется, изменяя при этом текущую дату и время (организует ускоренный календарь). Наряду с этим программа-ловушка при каждом запус­ке контролирует свою целостность (размер, контрольную сумму, дату и время создания). В случае обнаружения заражения про­граммный комплекс переходит в режим анализа зараженной про­граммы-ловушки и пытается определить тип вируса.

Программа для вакцинации. Предназначена для изменения среды функционирования вирусов таким образом, чтобы они теря­ли способность к размножению. Известно, что ряд вирусов помеча­ет зараженные файлы для предотвращения повторного зараже­ния. Используя это свойство, возможно создание программы, кото­рая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.

База данных о вирусах и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе вход­ного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наибо­лее эффективных детекторов и фагов для лечения от конкретного типа вируса.

Резидентные средства защиты. Эти средства могут резидентно разместиться в памяти и постоянно контролировать целостность системных файлов и командного процессора. Проверка может вы­полняться по прерываниям от таймера или при выполнении опера­ций чтения и записи в файл.








Дата добавления: 2014-11-12; просмотров: 1097. Нарушение авторских прав; Мы поможем в написании вашей работы!




Аальтернативная стоимость. Кривая производственных возможностей В экономике Буридании есть 100 ед. труда с производительностью 4 м ткани или 2 кг мяса...


Вычисление основной дактилоскопической формулы Вычислением основной дактоформулы обычно занимается следователь. Для этого все десять пальцев разбиваются на пять пар...


Расчетные и графические задания Равновесный объем - это объем, определяемый равенством спроса и предложения...


Кардиналистский и ординалистский подходы Кардиналистский (количественный подход) к анализу полезности основан на представлении о возможности измерения различных благ в условных единицах полезности...

Значення творчості Г.Сковороди для розвитку української культури Важливий внесок в історію всієї духовної культури українського народу та її барокової літературно-філософської традиції зробив, зокрема, Григорій Савич Сковорода (1722—1794 pp...

Постинъекционные осложнения, оказать необходимую помощь пациенту I.ОСЛОЖНЕНИЕ: Инфильтрат (уплотнение). II.ПРИЗНАКИ ОСЛОЖНЕНИЯ: Уплотнение...

Приготовление дезинфицирующего рабочего раствора хлорамина Задача: рассчитать необходимое количество порошка хлорамина для приготовления 5-ти литров 3% раствора...

СПИД: морально-этические проблемы Среди тысяч заболеваний совершенно особое, даже исключительное, место занимает ВИЧ-инфекция...

Понятие массовых мероприятий, их виды Под массовыми мероприятиями следует понимать совокупность действий или явлений социальной жизни с участием большого количества граждан...

Тактика действий нарядов полиции по предупреждению и пресечению правонарушений при проведении массовых мероприятий К особенностям проведения массовых мероприятий и факторам, влияющим на охрану общественного порядка и обеспечение общественной безопасности, можно отнести значительное количество субъектов, принимающих участие в их подготовке и проведении...

Studopedia.info - Студопедия - 2014-2024 год . (0.009 сек.) русская версия | украинская версия