Защита информации от компьютерных вирусов

Рассмотренные в предыдущих подразделах способы и средства защиты информации являются в значительной мере универсаль­ными и могут быть использованы в компьютерных сетях с любой машинной базой и для любой операционной платформы. Вместе с тем в последние годы появилась необходимость разработки совер­шенно новых средств защиты информации, предназначенных для противодействия так называемым компьютерным вирусам, спо­собным уничтожать или искажать информацию, обрабатываемую на ПК.

Важность и значимость таких средств защиты определяется не­сколькими основными факторами. Во-первых, ПК получили весьма широкое распространение во всех отраслях человеческой деятель-

150

ности, причем круг их непосредственных пользователей постоян­но расширяется и в скором времени охватит, очевидно, практи­чески все трудоспособное население. Во-вторых, к настоящему времени разработаны разнообразные программные средства, су­щественно облегчающие использование новых информационных технологий, и расширилась область их сбыта и применения, что в ряде случаев способствует распространению зараженных программ­ных продуктов. В-третьих, появилось значительное число програм­мистов, способных самостоятельно создавать достаточно сложные версии компьютерных вирусов и по различным причинам дела­ющих это (в качестве причин могут выступать и весьма необыч­ные — от желания испытать свои силы, прославиться, сделать рекламу своей квалификации до сознательных попыток сорвать работу тех или иных ИС).

Следует отметить, что проблема борьбы с компьютерными вирусами возникла тогда, когда программисты стали создавать и использовать свои программы в некоторой системной среде, т.е. стали в определенном смысле по отношению друг к другу обезли­ченными. И еще одно замечание: разработка компьютерных виру­сов (и, соответственно, способов и средств борьбы с ними) не является вопросом науки, а имеет чисто инженерный («програм­мистский») уровень.

История компьютерных вирусов ведет начало с 1984 г., когда Ф.Коэн (США) написал программу, которая автоматически ак­тивизировалась и проводила деструктивные изменения информа­ции при незаконном обращении к другим программам автора. После этого было создано большое количество программ, пред­назначенных для вызова тех или иных «вредных» действий, и по­степенно сформировалось самостоятельное инженерное направ­ление по борьбе с ними.

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Данное поло­жение особенно важно для локальных и глобальных компью­терных сетей, объединяющих работу сотен и миллионов пользо­вателей.

Известны случаи, когда вирусы блокировали работу организа­ций и предприятий. Более того, несколько лет назад был зафик­сирован случай, когда компьютерный вирус стал причиной гибе­ли человека — в одном из госпиталей Нидерландов пациент полу­чил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм (разрабатывающих программы против виру­сов), убытки, приносимые компьютерными вирусами, не умень­шаются и достигают астрономических величин, измеряемых сот­нями миллионов долларов ежегодно. Особенно эти потери акту-

151

альны в больших компьютерных сетях. Так, например, в апреле 1999 г. только по причине деструктивного действия одного компь­ютерного вируса под названием Win95.CIH во Франции было поражено более 100 тыс. банковских компьютеров с общим ущер­бом более 300 млн долл. Надо полагать, что эти оценки явно зани­жены, поскольку известно становится лишь о части подобных инцидентов.

При этом следует иметь в виду, что используемые антивирус­ные программы и аппаратная часть не дают полной гарантии за­щиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек—компьютер». Как прикладные пользо­ватели, так и профессионалы-программисты часто не имеют даже навыков «самообороны» от вирусов, а их представления о про­блеме порой весьма и весьма поверхностны.

Что же представляет собой компьютерный вирус? Компьютер­ный вирус — это специально написанная, как правило на языке программирования низкого уровня, небольшая по размерам про­грамма, которая может «приписывать» себя к другим программам и выполнять разные нежелательные для пользователя действия на компьютере.

Жизненный цикл вируса включает четыре основных этапа [35]:

1) внедрение;

2) инкубационный период (прежде всего для скрытия источ­ника проникновения);

3) репродуцирование (саморазмножение);

4) деструкцию (искажение и/или уничтожение информации).
В последнее время появились вирусы, включающие еще один

этап — самоликвидацию, что серьезно затрудняет борьбу с ними.

Заметим, что использование медицинской (вирусологической) терминологии связано с тем, что по характеру жизнедеятельно­сти и проявлениям программы-вирусы сходны с настоящими (жи­выми) вирусами. В этой связи естественным является применение той же терминологии и для способов и средств борьбы с компью­терными вирусами: «антивирус», «карантин», «вакцина», «фаг», о чем более подробно будет сказано далее.

Для реализации каждого из этапов цикла жизни вируса в его структуру включают несколько взаимосвязанных частей (элемен­тов):

• ответственную за внедрение и инкубационный период;

• осуществляющую его копирование и добавление к другим фай­лам (программам);

• реализующую проверку условия активизации его деятельнос­ти;

• содержащую алгоритм деструктивных действий;

• реализующую алгоритм саморазрушения.

152

Следует помнить, что часто» названные части вируса хранятся отдельно друг от друга, что затрудняет борьбу с ними.

Объекты воздействия компьютерных вирусов можно условно разделить на две группы:

1) с целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и/или имеют высокий приоритет в вычислитель­ной системе (заметим, что сами программы, в которых находятся вирусы, с точки зрения реализуемых ими функций, как правило, не портятся);

2) с деструктивными целями вирусы воздействуют чаще всего на данные, реже — на программы.

Назовем наиболее широко распространившиеся деструктивные функции вирусов:

• изменение данных в соответствующих файлах;

• изменение назначенного магнитного диска, когда запись ин­формации осуществляется на неизвестный пользователю диск;

• уничтожение информации путем форматирования диска или отдельных треков (дорожек) на нем;

• уничтожение каталога файлов или отдельных файлов на диске;

• уничтожение (выключение) программ, постоянно находящих­ся в ОС;

• нарушение работоспособности ОС, что требует ее периоди­ческой перезагрузки;

• уничтожение специальных файлов ОС и др.
Классифицировать компьютерные вирусы можно по различ­
ным признакам. Укажем четыре из них [35]:

1) среда обитания;

2) ОС;

3) особенности алгоритма работы;

4) деструктивные возможности.

По среде обитания вирусы можно разделить на следующие типы:

• файловые;

• загрузочные;

• макровирусы;

• сетевые.

Файловые вирусы либо различными способами внедря­ются в выполняемые файлы (наиболее распространенный тип ви­русов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (Нпк-ви-русы).

Загрузочные вирусы записывают себя либо в загрузоч­ный сектор диска (йоо/-сектор), либо в сектор, содержащий си­стемный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный &оо/-сектор.

153

Макровирусы заражают файлы-документы, электронные таблицы и презентации ряда популярных редакторов.

Сетевые вирусы используют для своего распростране­ния протоколы или команды компьютерных сетей и электрон­ной почты.

Существует большое количество сочетаний — например фай-лово-загрузочные вирусы, заражающие как файлы, так и загру­зочные секторы дисков. Такие вирусы, как правило, имеют до­вольно сложный алгоритм работы, часто применяют оригиналь­ные методы проникновения в ОС, используют стеле- и полимор-фик-технол огии.

Другой пример такого сочетания — сетевой макровирус, кото­рый не только заражает редактируемые документы, но и рассыла­ет свои копии по электронной почте (например, «I love you» или «Анна Курникова»).

Заражаемая ОС (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС: DOS, Win95/98/NT/2000/XP, OS/2 и т.д. Макровирусы заражают файлы форматов Word, Excel, Power Point, Office. Загрузочные вирусы также ориентированы на конк­ретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритма работы вирусов выделяют:

• резидентность;

• использование стелс-алгоритмов;

• самошифрование и полиморфичность;

• использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера ос­тавляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и вне­дряется в них. Резидентные вирусы находятся в памяти и являют­ся активными вплоть до выключения компьютера или перезагруз­ки ОС.

Нерезидентные вирусы не заражают память компьюте­ра и сохраняют активность ограниченное время. Некоторые виру­сы оставляют в оперативной памяти небольшие резидентные про­граммы или функции, которые не распространяют вирус. Такие вирусы тоже считаются нерезидентными.

Резидентными можно считать макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время рабо­ты зараженного редактора. При этом роль ОС берет на себя редак­тор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.

В многозадачных ОС время жизни резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного

154

DOS-окна, а активность загрузочных вирусов в некоторых ОС огра­ничивается моментом инсталляции дисковых драйверов ОС.

Использование стел с-а лгоритмов позволяет вирусам пол­ностью или частично скрыть себя в системе. Наиболее распро­страненным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незаражен-ные участки информации. В случае макровирусов наиболее попу­лярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый за­грузочный стелс-вирус — «Brain».

Самошифрование и полиморфичность использу­ются практически всеми типами вирусов для того, чтобы макси­мально усложнить процедуру детектирования вируса. Полимор-фик-вирусы — это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода.

В большинстве случаев два образца одного и того же полимор-фик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями програм­мы-расшифровщика.

Различные нестандартные приемы часто используют­ся в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус «ЗАРАЗА»), защитить от обнаруже­ния свою резидентную копию (вирусы «TPVO», «Trout2»), за­труднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.

По деструктивным возможностям вирусы можно разделить:

• на б е з в р е д н ы е, т. е. никак не влияющие на работу компь­
ютера (кроме уменьшения свободной памяти на диске в результа­
те своего распространения);

» неопасные, влияние которых ограничивается уменьшени­ем свободной памяти на диске и графическими, звуковыми и дру­гими эффектами;

• опасные, которые могут привести к серьезным сбоям в работе компьютера;

• очень опасные, в алгоритм работы которых заведомо за­ложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьюте­ра информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способ­ствовать быстрому износу движущихся частей механизмов — вво­дить в резонанс и разрушать головки некоторых типов винчесте­ров.

На сегодняшний день установились названия для некоторых типов вирусов. Так, «ловушками» называют вирусы, использу-

155

ющие имеющиеся неточности в действующих программах или их несовершенство (например, изменяющие адрес входа из програм­мы в подпрограммы и обратно).

«Логические бомбы» или «бомбы замедленного действия» осуще­ствляют длительную и разнообразную подготовку к проведению деструктивных действий и затем срабатывают при выполнении определенного комплекса условий (например, выполнении опре­деленного этапа работ, наступлении заданного времени, обраще­нии к программе определенного пользователя и т.п.). Эти вирусы особенно опасны в силу длительности периода времени, при ко­тором они себя практически не обнаруживают, хотя уже ведут разрушительную работу. Факт проявления этих вирусов сопряжен с такой степенью порчи данных, что в установленной версии ОС оказываются неработоспособными практически все (или большин­ство) программ. Таким образом, машина становится полностью неработоспособной. Вирусы-черви вызывают неуправляемое функ­ционирование, например, сетевых или периферийных устройств (бесконечный «прогон» бумаги в принтере, постоянную перезаг­рузку ОС и т.п.).

«Троянскими конями» называют вирусы, распространяемые вме­сте с ПО специального назначения, причем для пользователя оказывается крайне неожиданным их деструктивные действия (на­пример, таким вирусом могут быть заражены сами антивирусные программы).

Внешне «троянцы» могут даже выполнять некие полезные функ­ции (фиктивно оптимизировать распределение памяти на компь­ютере, проводить уплотнение информации на диске и т.д.), но на самом деле либо разрушают систему (например, форматируют винчестер на низком уровне или операцией многократного и опе­ративного считывания-записи информации способствуют меха­ническому выведению из строя дисковода компьютера), либо от­дают контроль в руки другого человека. Пород «троянцев» множе­ство: некоторые из них вообще не выполняют полезных функций, а просто скрытно живут на диске ЭВМ и совершают разные дест­руктивные действия, а некоторые, наоборот, совершенно не скры­ваются от пользователя, при этом совершая некоторые манипу­ляции, о которых никто не подозревает (или не должен подозре­вать).

Пример вируса первого типа — известный вирус «Back Orifice», дающий «врагу» почти полный контроль над компьютером в ком­пьютерной сети и невидимый для пользователя. Пример вируса второго типа — подделки под браузер MS Internet Explorer, кото­рый при соединении с сайтом фирмы Microsoft развивает небыва­лую активность по пересылке данных с компьютера на сервер Microsoft, объем которых явно превосходит простой запрос скачи­ваемого /iftwZ-документа (м;ей-страницы Интернета).

156

Для того чтобы применить тот или иной способ борьбы с кон­кретным вирусом, нужно сначала осуществить его диагностику (хотя следует признать, что все современные методы диагностики вирусов являются несовершенными). Названной цели служат про­граммы трех типов [74]:

1) для выявления наличия вируса;

2) для обнаружения и удаления вируса;

3) защиты от вирусов (препятствующие проникновению но­вых вирусов).

Борьба с вирусами ведется путем применения антивирусов — программ, осуществляющих обнаружение или обнаружение и уда­ление вируса. Самыми популярными и эффективными антивирус­ными программами являются антивирусные сканеры (другие на­звания: фаги, полифаги) [35]. Следом за ними по эффективности и популярности следуют СйС-сканеры (ревизоры, checksumer, integrity checker).

Часто оба приведенных метода объединяются в одну универ­сальную антивирусную программу, что значительно повышает ее мощность. Применяются также разного типа блокировщики и иммунизаторы.

Проблема защиты от макровирусов. Поскольку проблема мак­ровирусов в последнее время перекрывает все остальные пробле­мы, связанные с прочими вирусами, на ней следует остановиться подробнее.

Существует несколько приемов и встроенных в Word/Excel и другие программы функций, направленных на предотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.0). Эта защита при открытии файла, содержащего любой макрос, сооб­щает о его присутствии и предлагает запретить этот макрос. В ре­зультате макрос не только не выполняется, но и не виден сред­ствами Word/Excel. Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с мак­росами (любыми): она не различает «чистые» и зараженные мак­росы и выводит предупреждающее сообщение при открытии прак­тически любого файла. По этой причине защита в большинстве случаев оказывается, отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает — некоторые вирусы, однажды получив управление, при каждом запуске от­ключают защиту от^вирусов и таким образом полностью блокиру­ют ее.

Существуют другие методы противодействия вирусам, напри­мер функция DisableAutoMacros. Однако она не запрещает выпол­нение прочих макросов и блокирует только те вирусы, которые для своего распространения используют один из автомакросов.

157

Запуск редактора Word с опцией /М (или с нажатой клавишей Shift) не является панацеей от всех бед, а только отключает один макрос AutoExec и таким образом также не может служить надеж­ной защитой от вируса.

Сетевые вирусы. Среди множества известных вирусов особое место занимают сетевые вирусы, как правило, считающиеся и наиболее опасными [48].

Возможность инфицирования компьютерными вирусами кор­поративных компьютерных сетей является серьезной проблемой. Опасность действия вирусов определяется возможностью частич­ной или полной потери ценной информации, а также потерей времени и средств, направленных на восстановление нормально­го функционирования информационных систем.

Обычная корпоративная компьютерная сеть включает в себя сотни рабочих станций, десятки серверов и, как правило, имеет очень сложную структуру. Стоимость обслуживания такой сети растет вместе с ростом числа подключенных рабочих станций. При этом расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Основной возможностью их снижения является централизация управления работой антиви­русной системы, установленной в корпоративной компьютерной сети.

Администратор должен иметь возможность с одного рабочего места вести мониторинг всех точек проникновения вирусов и уп­равлять всеми антивирусными продуктами, перекрывающими эти точки. Компьютерные вирусы проникают в сеть вместе с файлами. Основными путями, которыми файлы, зараженные вирусами, попадают в корпоративную сеть, являются:

• копирование инфицированных файлов или запуск программ и других файлов с переносимых источников (гибких дисков, оптических дисков, Zip, Jazz, Floptical, CD-R(RW), DVD-R(RW), флешки и т.д.);

• ПО, полученное через web или FTP ж сохраненное на локаль­ных рабочих станциях;

• файлы, получаемые удаленными пользователями, которые со­единяются с корпоративной сетью по модему;

. файлы, получаемые при соединении удаленного сервера с сетью для обмена с файловым сервером, сервером приложений или сервером БД;

« электронная почта, содержащая приложенные зараженные файлы.

Глобальная компьютерная сеть Интернет на сегодняшний день также является основным источником вирусов. Наибольшее чис­ло заражений вирусом происходит при обмене письмами в фор­матах Word/Office. Пользователь зараженного макровирусом ре­дактора, сам того не подозревая, рассылает зараженные письма

158

адресатам, которые в свою очередь отправляют новые заражен­ные письма и т.д.

К сетевым относятся вирусы, которые для своего распростра­нения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого виру­са является возможность самостоятельно передать свой код на уда­ленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по край­ней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Бытует ошибочное мнение, что сетевым является любой ви­рус, распространяющийся в компьютерной сети. Но в таком слу­чае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный ви­рус при заражении файлов не разбирается, сетевой (удаленный) это диск или локальный. В результате такой вирус способен зара­жать файлы в пределах сети, но отнести его к сетевым вирусам нельзя.

Наибольшую известность приобрели сетевые вирусы конца 1980-х гг., их также называют сетевыми червями (worms) К ним относятся вирус Морриса, вирусы «Cristmas Tree» и «Wank Worm&». Для своего распространения они использовали ошибки и недоку­ментированные функции глобальных сетей того времени — виру­сы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусом Морриса эпидемия захватила даже несколько глобальных сетей в США.

После некоторого затишья проблема сетевых вирусов вновь обо­стрилась в начале 1997 г. с появлением вирусов «Macro.Word. Share-Fun» и «Win.Homer». Первый из них использует возможности элек­тронной почты Microsoft Mail: он создает новое письмо содер­жащее зараженный файл-документ («ShareFun» является'макро­вирусом), затем выбирает из списка адресов службы MS Mail (из компьютерной записной книги) три случайных адреса и рассы­лает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MSMail таким образом, что при полу­чении письма автоматически запускается MS Word, то вирус «ав­томатически» внедряется в компьютер адресата зараженного пись­ма. Этот вирус иллюстрирует первый тип современного сетевого вируса, которые объединяют возможности встроенного в Word/ Excel языка Basic, протоколы и особенности электронной .почты и функции автозапуска, необходимые для распространения ви­руса.

Второй вирус («Homer») использует для своего распростране­ния протокол FTP и передает свою копию на удаленный FTP-cep-вер в каталог Incoming. Поскольку сетевой протокол FTP исклю-

159

чает возможность запуска файла на удаленном сервере, этот ви­рус можно охарактеризовать как «полусетевой», однако это ре­альный пример возможностей вирусов по использованию совре­менных сетевых протоколов и поражению глобальных сетей.

Правила защиты от компьютерных вирусов. Приведем некото­рые основные правила защиты от компьютерных вирусов [35].

Правило первое. Следует крайне осторожно относиться к про­граммам и документам, изготовленным с помощью пакета Microsoft Office (с помощью приложений Word/Excel/Power Point/ Access), которые получают из глобальных сетей. Перед тем как запустить файл на выполнение или открыть документ/таблицу/ презентацию/базу данных, нужно обязательно их проверить на наличие вирусов. Для этого используют специализированные ан­тивирусы — для проверки всех файлов, приходящих по электрон­ной почте (из локальных и глобальных сетей в целом). К сожале­нию, на сегодняшний день нельзя однозначно назвать хотя бы один антивирус, который достаточно надежно ловил бы вирусы в приходящих из Интернета файлах, но не исключено, что такие антивирусы появятся в ближайшем будущем.

Правило второе. Правило касается защиты локальных сетей. Для уменьшения риска заразить файл на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети: ограничение прав пользователей; установку атрибутов «только на чтение» или даже «только на запуск» для всех выполняемых файлов (к сожалению, это не всегда оказывается возможным); скрытие (закрытие) важных разделов диска и директорий и т.д. Используют специализированные антивирусы, проверяющие все файлы, к которым идет обращение. Если это по какой-либо при­чине невозможно, регулярно проверяют сервер обычными анти­вирусными программами. Риск заражения компьютерной сети зна­чительно уменьшается при использовании бездисковых рабочих станций. Желательно также перед тем, как запустить новое ПО, проверить его на тестовом компьютере, не подключенном к об­щей сети.

Правило третье. Лучше приобретать дистрибутивные копии ПО у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать нелицензион­ные «пиратские» копии. При этом значительно снижается вероят­ность заражения.

Как следствие из этого правила вытекает необходимость хра­нения дистрибутивных копий ПО (в том числе копий ОС). При­чем копии желательно хранить на защищенных от записи диске­тах (дисках).

Следует пользоваться только хорошо зарекомендовавшими себя источниками программ и прочих файлов, хотя это не всегда спа­сает (например, на сервере Microsoft довольно долгое время нахо-

160

дился документ, зараженный макровирусом «Wazzu»). По-види­мому, единственными надежными с точки зрения защиты от ви­русов являются BBS/FTP/WWW антивирусных фирм-разработчи­ков.

Правило четвертое. Не следует запускать непроверенные фай­лы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источ­ников. Перед запуском новых программ их обязательно проверяют одним или несколькими антивирусами. Если даже ни один анти­вирус не среагировал на файл, который был снят с BBS или элек­тронной конференции, не нужно торопиться его запускать. Луч­ше подождать неделю — если этот файл вдруг окажется заражен новым неизвестным вирусом, то скорее всего кто-либо потерпит неудобства и своевременно сообщит об этом. Желательно также, чтобы при работе с новым ПО в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа заражена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение.

Все рекомендации приводят к необходимости ограничения круга лиц, допущенных к работе на конкретном компьютере. Как пра­вило, наиболее часто подвержены заражению «многопользователь­ские» ПК.

Правило пятое. Нужно пользоваться утилитами проверки цело­стности информации. Такие утилиты сохраняют в специальных БД информацию о системных областях дисков (или целиком си­стемные области) и информацию О файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.). Периодически сравнивают информацию, хранящуюся в подоб­ной БД, с реальным содержимым винчестера, так как практиче­ски любое несоответствие может служить сигналом о появлении вируса или «троянской» программы.

Правило шестое. Периодически сохраняют на внешнем носите­ле файлы, с которыми ведется работа. Такие резервные копии носят название backup -копий. Затраты на копирование файлов, содержащих исходные тексты программ, БД, документацию, зна­чительно меньше затрат на восстановление этих файлов при про­явлении вирусом агрессивных свойств или при сбое компьютера. При наличии стриммера или какого-либо другого внешнего но­сителя большого объема имеет смысл делать backup -копии всего содержимого винчестера. Но поскольку времени на создание по­добной копии требуется значительно больше, чем на сохранение только рабочих файлов, такие копии делаются гораздо реже.

В качестве вывода отметим, что проблему защиты от вирусов целесообразно рассматривать в общем контексте проблемы защи­ты информации от несанкционированного доступа. Основной принцип, который должен быть положен в основу разработки тех-

161

нологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей регламентацию доступа к ЭВМ, проводимых операций на ЭВМ, применение спе­циальных программных и аппаратных средств и т. п.

В заключение подчеркнем три важнейших обстоятельства: во-первых защита информации от несанкционированных действий эффективна только тогда, когда комплексно (системно) приме­няются все известные способы и средства; во-вторых, защита дол­жна осуществляться непрерывно; в-третьих, на защиту информа­ции не нужно жалеть затрат денежных, материальных, временных и других ресурсов, ибо они многократно окупятся сохранением целостности информации.

РАЗДЕЛ II

⇐ Предыдущая24252627282930313233Следующая ⇒

Поделиться: