Защита информации, антивирусная защита. Средства и методы антивирусной защиты

Введение

Информатизация общества стала одной из важнейших характеристик нашего времени. Нет ни одной области человеческой деятельности, которая в той или иной степени не была связана с процессами получения и обработки информации.

Информатизация - процесс, при котором создаются условия, удовлетворяющие потребностям любого человека в получении необходимой информации.

Информация стала важным инструментом политики и культуры, промышленности, науки и образования. Не существует точного определения информации, хотя данное определение интуитивно понятно каждому. Приведем одно из наиболее общих определений.

Основой информатизации общества должна стать информационная культура пользователей, т.е. соблюдение правил создания, обработки, использования и защиты информации, которое должно проявляться в выполнении следующих требований:

обязательное документирование, регистрация и лицензирование создаваемой информации;

использование, обработка и распространение информации с разрешения собственника;

защита информации от несанкционированного доступа и копирования информации;

запрет на сбор, хранение, использование и распространение информации, являющейся конфиденциальной;

соблюдения правовых норм владения, хранения и использования информации, информационных технологий, программных продуктов и т. п.

Информация - это совокупность разнообразных данных, сведений, знаний, умений и опыта, необходимых кому-либо.

В настоящее время создание, корректировка и распространение информации осуществляется в большинстве случаев с помощью ПК.

Неотъемлемой частью ЭВМ является прикладное программное обеспечение, т.е. программные средства, предназначенные для выполнения конкретных однотипных задач. К таким программным средствам относится текстовый редактор Word.

В данной работе рассмотрен ряд вопросов, связанных с функционированием ПК.

Работа состоит из введения, основной части и списка литературы.

Защита информации от несанкционированного доступа. Антивирусные средства защиты информации

Задача защиты информации, хранимой в компьютерных системах, от несанкционированного доступа (НСД), является весьма актуальной. Для решения этой задачи используется целый комплекс средств, включающий в себя технические, программно-аппаратные средства и административные меры защиты информации.

Несанкционированным доступом (НСД) к информации называют незапланированное ознакомление, обработка, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа.

Система защиты информации - это организованная совокупность специальных законодательных и иных нормативных актов, органов, служб, методов, мероприятий и средств, обеспечивающих безопасность информации от внутренних и внешних угроз.

В защите информации от НСД можно выделить три основных направления:

Первое ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя;

Второе связано с защитой вычислительной среды и основывается на создании специального программного обеспечения по защите информации;

Третье направление связано с использованием специальных средств защиты информации от несанкционированного доступа

Средство защиты информации от НСД - техническое, криптографическое, программное и иное средство, предназначенное для защиты информации, средство, в котором оно реализовано, а также средство контроля эффективности защиты информации.

Средства защиты информации делятся на:

1. Физические - различные инженерные средства и сооружения, затрудняющие или исключающие физическое проникновение (или доступ) правонарушителей на объекты защиты и к материальным носителям конфиденциальной информации:

2. Аппаратные - механические, электрические, электронные и другие устройства, предназначенные для защиты информации от утечки, разглашения, модификации, уничтожения, а также противодействия средствам технической разведки:

3. Программные - специальные программы для ЭВМ, реализующие функции защиты информации от несанкционированного доступа, ознакомления, копирования, модификации, уничтожения и блокирования.

4. Криптографические - технические и программные средства шифрования данных, основанные на использовании разнообразных математических и алгоритмических методов.

5. Комбинированные - совокупная реализация аппаратных и программных средств и криптографических методов защиты информации.

Различные программные методы значительно расширяют возможности по обеспечению безопасности хранящейся информации.

Среди стандартных защитных средств персонального компьютера наибольшее распространение получили:

Средства защиты вычислительных ресурсов, использующие парольную идентификацию и ограничивающие доступ несанкционированного пользователя;

Применение различных методов шифрования, не зависящих от контекста информации;

Средства защиты от копирования коммерческих программных продуктов;

Защита от компьютерных вирусов;

Создание архивов.

Компьютерный вирус - программа способная самопроизвольно внедряться и внедрять свои копии в другие программы, файлы, системные области компьютера и в вычислительные сети, с целью создания всевозможных помех работе на компьютере

Основные меры по защите от вирусов: оснащение компьютера антивирусной программой, постоянное обновление антивирусных баз, архивные копии ценной информации.

Антивирусная программа (антивирус) -- программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики -- предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).

Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода:

сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах

обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

К основным методам обнаружения компьютерных вирусов можно отнести следующие:

метод сравнения с эталоном;

эвристический анализ;

антивирусный мониторинг;

метод обнаружения изменений;

встраивание антивирусов в BIOS компьютера и др.

Метод сравнения с эталоном. Самый простой метод обнаружения заключается в том, что для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает (сканирует) проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы, для которых определена маска. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Применение простых сканеров не защищает компьютер от проникновения новых вирусов. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.

Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в секторы и т. д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Обнаружив зараженный файл, анализатор обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети. Эвристический анализ позволяет обнаруживать неизвестные ранее вирусы. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.

Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находится антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг позволяет проверять все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты либо компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

Метод обнаружения изменений. При реализации этого метода антивирусные программы, называемые ревизорами диска, запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. Заражая компьютер, вирус изменяет содержимое жесткого диска: например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. При сопоставлении значений характеристик областей диска антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.

Встраивание антивирусов в BIOS компьютера. В системные платы компьютеров встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает соответствующее предупреждение. Однако эта защита не очень надежна. Известны вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Предлагаем результаты опроса, проведенного WEBCITY Business Network, в прошлом квартале. В опросе участвовало более 7000 человек (Интернет). Результаты опроса:

антивирусный информация программа форматирование

Лучший антивирус для дома и офиса в 2010 году

Средства антивирусной защиты

Наименование параметра Значение
Тема статьи: Средства антивирусной защиты
Рубрика (тематическая категория) Информатика

Методы защиты от компьютерных вирусов

Существуют три рубежа защиты от компьютерных вирусов:

‣‣‣ предотвращение поступления вирусов;

‣‣‣ предотвращение вирусной атаки, в случае если вирус всœе-таки поступил на компьютер;

‣‣‣ предотвращение разрушительных последствий, в случае если атака всœе-таки произошла. Существуют три метода реализации защиты:

‣‣‣ программные методы защиты;

‣‣‣ аппаратные методы защиты;

‣‣‣ организационные методы защиты.

В вопросœе защиты ценных данных часто используют бытовой подход: ʼʼболезнь лучше предотвратить, чем лечитьʼʼ. К сожалению, именно он и вызывает наиболее разрушительные последствия. Создав бастионы на пути проникновения вирусов в компьютер, нельзя положиться на их прочность и остаться неготовым к действиям после разрушительной атаки. К тому же, вирусная атака - далеко не единственная и даже не самая распространенная причина утраты важных данных. Существуют программные сбои, которые могут вывести из строя операционную систему, а также аппаратные сбои, способные сделать жесткий диск неработоспособным. Всегда существует вероятность утраты компьютера вместе с ценными данными в резуль­тате кражи, пожара или иного стихийного бедствия.

По этой причине создавать систему безопасности следует в первую очередь ʼʼс концаʼʼ - с предотвращения разрушительных последствий любого воздействия, будь то вирус­ная атака, кража в помещении или физический выход жесткого диска из строя. Надежная и безопасная работа с данными достигается только тогда, когда любое неожиданное событие, в т.ч. и полное физическое уничтожение компьютера не приведет к катастрофическим последствиям.

Основным средством защиты информации является резервное копирование наибо­лее ценных данных. При резервировании данных следует также иметь в виду и то, что нужно отдельно сохранять всœе регистрационные и парольные данные для доступа к сетевым служ­бам Интернета. Их не следует хранить на компьютере.

Создавая план мероприятий по резервному копированию информации, крайне важно учитывать, что резервные копии должны храниться отдельно от компьютера. То есть, к примеру, резервирование информации на отдельном жестком диске того же компьютера только создает иллюзию безопасности. Относительно новым и доста­точно надежным приемом хранения ценных, но не конфиденциальных данных явля­ется их хранение в Web-папках на удаленных серверах в Интернете. Есть службы, бесплатно предоставляющие пространство (до нескольких Мбайт) для хранения данных пользователя.

Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают крайне важно сть создания не менее двух резервных копий, сохраняемых в разных местах. Между копиями осуществ­ляют ротацию. К примеру в течение недели ежедневно копируют данные на носи­тели резервного комплекта А, а через неделю их заменяют комплектом Б, и т. д.

Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, к примеру, простое отключение пере­мычки на материнской плате не позволит осуществить стирание перепрограммируе­мой микросхемы ПЗУ (флэш - BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неаккуратный пользователь.

Существует достаточно много программных средств антивирусной защиты. Οʜᴎ предоставляют следующие возможности.

1. Создание образа жесткого диска на внешних носителях (к примеру, на гибких дисках). В случае выхода из строя данных в системных областях жесткого диска сохраненный ʼʼобраз дискаʼʼ может позволить восстановить если не всœе данные, то, по крайней мере, их большую часть. Это же средство может защитить от утраты данных при аппаратных сбоях и при неаккуратном форматировании жесткого диска.

2. Регулярное сканирование жестких дисков в поисках компьютерных вирусов. Сканирование обычно выполняется автоматически при каждом включении компьютера и при размещении внешнего диска в считывающем устройстве. При сканировании следует иметь в виду, что антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, храня­щимися в базе данных. В случае если база данных устарела, а вирус является новым, сканирующая программа его не обнаружит. Стоит сказать, что для надежной работы следует регу­лярно обновлять антивирусную программу. Желательная периодичность обнов­ления - один раз в две недели; допустимая - один раз в три месяца. Для примера укажем, что разрушительные последствия атаки вируса W95.CIH.1075 (ʼʼЧерно­быльʼʼ), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999 года, были связаны не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновлении этих средств.

3. Контроль, за изменением размеров и других атрибутов файлов. Поскольку неко­торые компьютерные вирусы на этапе размножения изменяют параметры зара­женных файлов, контролирующая программа может обнаружить их деятель­ность и предупредить пользователя.

4. Контроль, за обращениями к жесткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе, обращены на модификацию данных, записанных на жестком диске, антивирусные про­граммы могут контролировать обращения к нему и предупреждать пользова­теля о подозрительной активности.

Средства антивирусной защиты - понятие и виды. Классификация и особенности категории "Средства антивирусной защиты" 2017, 2018.

Существует три рубежа защиты от компьютерных вирусов:

o предотвращение поступления вирусов;

o предотвращение вирусной атаки, если вирус всё-таки поступил на компьютер;

o предотвращение разрушительных последствий, если атака всё-таки произошла.

Существует три типа реализации защиты:

§ программные методы защиты;

§ аппаратные методы защиты;

§ организационные методы защиты.

К средствам антивирусной защиты относятся:

o резервное копирование данных;

o использование средств аппаратной защиты;

o использование антивирусных программ.

Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по причине заражения вирусом жёсткие диски переформатируют и подготавливают к новой эксплуатации. На «чистый» отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под её управлением устанавливают все необходимое программное обеспечение с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.

Резервные копии должны храниться отдельно от компьютера. Так, например, резервирование информации на отдельном жёстком диске того же компьютера только создаёт иллюзию безопасности. Относительно новым и достаточно надёжным приёмом хранения ценных, но неконфиденциальных данных, является их хранение в web-папках на удалённых серверах в сети Интернет. Есть службы, бесплатно представляющие пространство (до нескольких мегабайт) для хранения данных пользователя.

Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают необходимость создания не менее двух резервных копий, сохраняемых в разных местах. Между копиями осуществляют ротацию.

К другим организационным мерам защиты от вирусов относится соблюдение следующих правил:

Использование только лицензионного программного обеспечения, полученного из надёжных источников;

Ограничение круга лиц, имеющих доступ к компьютеру;

Соблюдение правил безопасности при работе в сети Интернет;

Обязательная проверка дискет с помощью антивирусной программы перед использованием;

Периодическое сканирование жесткого диска с помощью антивирусной программы;

Своевременное регулярное обновление антивирусных баз.

Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто это будет пытаться сделать: компьютерный вирус, злоумышленник или неаккуратный



пользователь.

Существует достаточно много программ антивирусной защиты. Наиболее известные: Norton Antivirus фирмы «Symantec» и АVP (AntiViral Toolkit Pro) лаборатории Касперского. Они представляют следующие возможности.

1. Создание образа жёсткого диска на внешних носителях (например, на гибких дисках). В случае выхода из строя данных в системных областях жёсткого диска сохранённый образ диска может позволить восстановить большую часть данных. Это же средство может защитить от утраты данных при аппаратных сбоях и при неаккуратном форматировании жёсткого диска.

2. Регулярное сканирование жёстких дисков в поисках компьютерных вирусов. Сканирование обычно выполняется автоматически при каждом включении компьютера и при размещении внешнего диска в считывающем устройстве.

При сканировании следует иметь в виду, что антивирусная программа ищет вирус путём сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надёжной работы антивирусной программы следует регулярно обновлять антивирусные базы. Например, разрушительные последствия атаки вируса W95.CIH.1075 («Чернобыль»), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999г., были связаны не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновлении этих средств. Разработчики антивирусного пакета АVP рекомендуют обновлять базы один раз в две недели и считают допустимой периодичность обновления один раз в три месяца. Базы Norton Antivirus обновляются один раз в месяц.

3. Контроль изменения размеров и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры заражённых файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя.

4. Контроль обращений к жёсткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе обращены на модификацию данных, записанных на жёстком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.

Материальным носителем информационной безопасности являются конкретные программно-технические решения, которые объединяются в комплексы в зависимости от целей их применения. Организационные меры вторичны относительно имеющейся материальной основы обеспечения информационной безопасности, поэтому в данном разделе пособия основное внимание будет уделено принципам построения основных программно-технических решений и перспективам их развития.

Угрозой интересам субъектов информационных отношений обычно называют потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты ИРК может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

В силу особенностей современных ИРК, существует значительное число различных видов угроз безопасности субъектам информационных отношений.

Одним из распространенных видов угроз являются компьютерные вирусы. Они способны причинить значительный ущерб ИРК. Поэтому важное значение имеет не только защита сети или отдельных средств информационного обмена от вирусов, но и понимание пользователями принципов антивирусной защиты.

В нашей стране наиболее популярны антивирусные пакеты «Антивирус Касперского» и DrWeb. Существуют также другие программы, например «McAfee Virus Scan» и «Norton AntiVirus». Динамика изменения информации в данной предметной области высокая, поэтому дополнительную информацию по защите от вирусов можно найти в Internet, выполнив поиск по ключевым словам «защита от вирусов».

Известно, что нельзя добиться 100 %-й защиты ПК от компьютерных вирусов отдельными программными средствами. Поэтому для уменьшения потенциальной опасности внедрения компьютерных вирусов и их распространения по корпоративной сети необходим комплексный подход, сочетающий различные административные меры, программно-технические средства антивирусной защиты, а также средства резервирования и восстановления. Делая акцент на программно-технических средствах, можно выделить три основных уровня антивирусной защиты:

Поиск и уничтожение известных вирусов;

Поиск и уничтожение неизвестных вирусов;

Блокировка проявления вирусов .

Уровни и средства антивирусной защиты схематично представлены на рис. 2.1.

Рис. 2.1. Уровни и средства антивирусной защиты

2.1.1. Защита от известных вирусов

При поиске и уничтожении известных вирусов наиболее распространенным является метод сканирования. Указанный метод заключается в выявлении компьютерных вирусов по их уникальному фрагменту программного кода (сигнатуре, программному штамму). Для этого создается некоторая база данных сканирования с фрагментами кодов известных компьютерных вирусов. Обнаружение вирусов осуществляется путем сравнения данных памяти компьютера с фиксированными кодами базы данных сканирования. В случае выявления и идентификации кода нового вируса, его сигнатура может быть введена в базу данных сканирования. В виду того, что сигнатура известна, существует возможность корректного восстановления (обеззараживания) зараженных файлов и областей. Следует добавить, что некоторые системы хранят не сами сигнатуры, а, например, контрольные суммы или имитоприставки сигнатур.

Антивирусные программы, выявляющие известные компьютерные вирусы, называются сканерами или детекторами. Программы, включающие функции восстановления зараженных файлов, называют полифагами (фагами), докторами или дезинфекторами. Принято разделять сканеры на следующие:

Транзитные, периодически запускаемые для выявления и ликвидации вирусов,

Резидентные (постоянно находящиеся в оперативной памяти), проверяющие заданные области памяти системы при возникновении связанных с ними событий (например, проверка файла при его копировании или переименовании).

К недостаткам сканеров следует отнести то, что они позволяют обнаружить только те вирусы, которые уже проникали в вычислительные системы, изучены и для них определена сигнатура. Для эффективной работы сканеров необходимо оперативно пополнять базу данных сканирования. Однако с увеличением объема базы данных сканирования и числа различных типов искомых вирусов снижается скорость антивирусной проверки. Само собой, если время сканирования будет приближаться ко времени восстановления, то необходимость в антивирусном контроле может стать не столь актуальной.

Некоторые вирусы (мутанты и полиморфные) кодируют или видоизменяют свой программный код. Это затрудняет или делает невозможным выделить сигнатуру и, следовательно, обнаружить вирусы методом сканирования.

Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.

2.1.2. Защита от неизвестных вирусов

Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов, пропущенных на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение изменений). Данный метод заключается в проверке и сравнении текущих параметров вычислительной системы с эталонными параметрами, соответствующими ее незараженному состоянию. Понятно, что контроль целостности не является прерогативой системы антивирусной защиты. Он обеспечивает защищенность информационного ресурса от несанкционированных модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и среды.

Для реализации указанных функций используются программы, называемые ревизорами. Работа ревизора состоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска) и периодическое сравнение их с текущими характеристиками. Обычно контролируемыми характеристиками являются контрольная сумма, длина, время, атрибут «только для чтения» файлов, дерево каталогов, сбойные кластеры, загрузочные сектора дисков. В сетевых системах могут накапливаться среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими параметрами.

Ревизоры, как и сканеры, делятся на транзитные и резидентные. К недостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими различные неудобства и трудности в работе пользователя. Например, многие изменения параметров системы вызваны не вирусами, а работой системных программ или действиями пользователя-программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, необходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.

Ревизоры обеспечивают высокий уровень выявления неизвестных компьютерных вирусов, однако они не всегда обеспечивают корректное лечение зараженных файлов. Для лечения файлов, зараженных неизвестными вирусами, обычно используются эталонные характеристики файлов и предполагаемые способы их заражения.

Разновидностью контроля целостности системы является метод программного самоконтроля, именуемый вакцинацией. Идея метода состоит в присоединении к защищаемой программе модуля (вакцины), контролирующего характеристики программы, обычно ее контрольную сумму.

Помимо статистических методов контроля целостности, для выявления неизвестных и маскирующихся вирусов используются эвристические методы. Они позволяют выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или новые модифицированные вирусы известных типов. В качестве примера признака вируса можно привести код, устанавливающий резидентный модуль в памяти, меняющий параметры таблицы прерываний и др. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором. Примером сканера с эвристическим анализатором является программа Dr Web фирмы «Диалог-Наука».

К недостаткам эвристических анализаторов можно отнести ошибки 1-го и 2-го рода: ложные срабатывания и пропуск вирусов. Соотношение указанных ошибок зависит от уровня эвристики.

Понято, что если для обнаруженного эвристическим анализатором компьютерного вируса сигнатура отсутствует в базе данных сканирования, то лечение зараженных данных может быть некорректным.

2.1.3. Защита от проявлений вирусов

Блокировка проявления вирусов предназначена для защиты от деструктивных действий и размножения компьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехвате характерных для вирусов функций. Известны два вида указанных антивирусных средств:

Программы-фильтры,

Аппаратные средства контроля.

Программы-фильтры, называемые также резидентными сторожами и мониторами, постоянно находятся в оперативной памяти и перехватывают заданные прерывания с целью контроля подозрительных действий. При этом они могут блокировать «опасные» действия или выдавать запрос пользователю.

Действия, подлежащие контролю, могут быть следующими: модификация главной загрузочной записи (MBR) и загрузочных записей логических дисков и ГМД, запись по абсолютному адресу, низкоуровневое форматирование диска, оставление в оперативной памяти резидентного модуля и др. Как и ревизоры, фильтры часто являются «навязчивыми» и создают определенные неудобства в работе пользователя.

Встроенные аппаратные средства ПК обеспечивают контроль модификации системного загрузчика и таблицы разделов жесткого диска, находящихся в главной загрузочной записи диска (MBR). Включение указанных возможностей в ПК осуществляется с помощью программы Setup, расположенной в ПЗУ. Следует указать, что программу Setup можно обойти в случае замены загрузочных секторов путем непосредственного обращения к портам ввода-вывода контроллеров жесткого и гибкого дисков.

Наиболее полная защита от вирусов может быть обеспечена с помощью специальных контроллеров аппаратной защиты. Такой контроллер подключается к ISA-шине ПК и на аппаратном уровне контролирует все обращения к дисковой подсистеме компьютера. Это не позволяет вирусам маскировать себя. Контроллер может быть сконфигурирован так, чтобы контролировать отдельные файлы, логические разделы, «опасные» операции и т. д. Кроме того, контроллеры могут выполнять различные дополнительные функции защиты, например, обеспечивать разграничение доступа и шифрование.

К недостаткам указанных контроллеров, таких как ISA-плат, относят отсутствие системы автоконфигурирования, и, как следствие, возможность возникновения конфликтов с некоторыми системными программами, в том числе антивирусными.

При работе в глобальных сетях общего пользования, в частности в Internet, кроме традиционных способов антивирусной защиты данных компьютеров, становится актуальным антивирусный контроль всего проходящего трафика. Это может быть осуществлено путем реализации антивирусного прокси-сервера, либо интеграции антивирусной компоненты с межсетевым экраном. В последнем случае межсетевой экран передает антивирусной компоненте (или серверу) допустимый, например, SMTP, FTP и HTTP-трафик. Содержащиеся в нем файлы проверяются на предмет наличия вирусов и, затем, направляются пользователям. Можно сказать, мы имеем дело с новым уровнем антивирусной защиты ­– уровнем межсетевого экранирования.

2.1.4. Обзор возможностей антивирусных средств

В настоящее время наблюдается тенденция в интегрировании различных антивирусных средств с целью обеспечения надежной многоуровневой защиты. На российском рынке наиболее мощными являются антивирусный комплект DialogueScience’s Anti-Virus kit (DSAV) АО «ДиалогНаука» и интегрированная антивирусная система AntiViral Toolkit Pro (AVP) ЗАО «Лаборатория Касперского». Указанные комплексы высоко зарекомендовали себя в нашей стране, особенно при обеспечении антивирусной защиты информационных систем малого и среднего офиса. Рассмотрим возможности средства «Лаборатория Касперского».

Указанный программный продукт декларирует: «Одной из главных задач специалистов «Лаборатории Касперского» при создании Антивируса Касперского являлась оптимальная настройка всех параметров приложения. Это дает возможность пользователю с любым уровнем компьютерной грамотности, не углубляясь в параметры, обеспечить безопасность компьютера сразу же после установки приложения». Окно-приглашение (главное окно) указанного антивирусного средства доступно для понимания пользователю любого уровня.

В случае необходимости пользователь может обратиться за помощью к справочной системе, нажав кнопку «? Справка» и получить ответ на интересующий его вопрос. Приведем без купюр содержание одного из информационных окон программного продукта.

Антивирус Касперского – это принципиально новый подход к защите информации. Главное в приложении – это объединение и заметное улучшение текущих функциональных возможностей всех продуктов компании в одно комплексное решение защиты. Приложение обеспечивает не только антивирусную защиту, но и защиту от неизвестных угроз. Больше не нужно устанавливать несколько продуктов на компьютер, чтобы обеспечить себе полноценную защиту. Достаточно просто установить Антивирус Касперского.

Комплексная защита обеспечивается на всех каналах поступления и передачи информации. Гибкая настройка любого компонента приложения позволяет максимально адаптировать Антивирус Касперского под нужды конкретного пользователя. Предусмотрена также единая настройка всех компонентов защиты.

Рассмотрим детально нововведения Антивируса Касперского.

Новое в защите

Теперь Антивирус Касперского защищает не только от уже известных вредоносных программ, но и от тех, что еще не известны. Наличие компонента проактивной защиты ­– основное преимущество приложения. Его работа построена на анализе поведения приложений, установленных на вашем компьютере, на контроле изменений системного реестра, отслеживании выполнения макросов и борьбе со скрытыми угрозами. В работе компонента используется эвристический анализатор, позволяющий обнаруживать различные виды вредоносных программ. При этом ведется история вредоносной активности, на основе которой обеспечивается откат действий, совершенных вредоносной программой, и восстановление системы до состояния, предшествующего вредоносному воздействию.

Изменилась технология защиты файлов на компьютере пользователя: теперь вы можете снизить нагрузку на центральный процессор и дисковые подсистемы и увеличить скорость проверки файлов. Это достигается за счет использования технологий iChecker и iSwift. Такой режим работы приложения исключает повторную проверку файлов.

Процесс поиска вирусов теперь подстраивается под вашу работу на компьютере. Проверка может занимать достаточное количество времени и ресурсов системы, но пользователь может параллельно выполнять свою работу. Если выполнение какой-либо операции требует ресурсов системы, поиск вирусов будет приостановлен до момента завершения этой операции. Затем проверка продолжится с того места, на котором остановилась.

Проверка критических областей компьютера, заражение которых может привести к серьезным последствиям, представлена отдельной задачей. Вы можете настроить автоматический запуск этой задачи каждый раз при старте системы.

Значительно улучшена защита электронной корреспонденции на компьютере пользователя от вредоносных программ. Приложение проверяет на вирусы почтовый трафик на следующих протоколах:

* IMAP, SMTP, POP3, независимо от используемого вами почтового клиента;

* NNTP, независимо от почтового клиента;

* Независимо от типа протокола (в том числе MAPI, HTTP) в рамках работы плагинов, встроенных в почтовые программы Microsoft Office Outlook и The Bat!

В таких широко известных почтовых клиентах как Microsoft Office Outlook, Microsoft Outlook Express и The Bat! встроены специальные модули расширения (плагины), позволяющие настраивать защиту почты непосредственно в почтовом клиенте.

Расширена функция оповещения пользователя о возникновении в работе приложения определенных событий. Вы сами можете выбрать способ уведомления для каждого из типов событий: почтовое сообщение, звуковое оповещение, всплывающее сообщение, запись в журнал событий.

Реализована проверка трафика, передаваемого через защищенное соединение по протоколу SSL.

Добавлена технология самозащиты приложения, защиты от удаленного несанкционированного управления сервисом Антивируса, а также защиты доступа к параметрам приложения с помощью пароля. Это позволяет избежать отключения защиты со стороны вредоносных программ, злоумышленников или неквалифицированных пользователей.

Добавлена возможность создания диска аварийного восстановления системы. С помощью этого диска можно провести первоначальную загрузку операционной системы после вирусной атаки и выполнить проверку компьютера на наличие вредоносных объектов.

Достаточно популярной у ряда пользователей является программа Dr. Web. Основная направленность Dr. Web состоит в обнаружение полиморфных вирусов. В настоящее время Dr. Web реализует наиболее эффективный эвристический анализатор неизвестных вирусов в мире. По данным журнала Virus Bulletin, это обеспечивает обнаружение до 80 – 91% неизвестных вирусов, в т. ч. 99 % макро-вирусов! На международных конкурсах Dr. Web несколько раз входил в тройку самых лучших антивирусов для DOS. Продукт достаточно компактный, что позволяет запускать его с дискеты.

В заключении отметим, что администратор сети, пользователи ПК должны постоянно следить за обновлением антивирусных средств и своевременно осуществлять комплекс мер по защите программно-аппаратных средств сети от высоковероятного поражения их вирусами.

ИНФОРМАТИКА

Защита информации, антивирусная защита.

(1 час: лекция)

Антивирусные средства защиты.

Количество людей, пользующихся компьютером и сотовым телефоном, имеющим выход в Интернет, постоянно растет. Значит, возрастает возможность обмена данными между ними по электронной почте и через Всемирную сеть. Это приводит к росту угрозы заражения компьютера вирусами, а также порчи или хищения информации чужими вредоносными программами, ведь основными источниками распространения вредоносных программ являются электронная почта и Интернет. Правда, заражение может также произойти через дискету или CD-диск.

Компьютерный вирус - это целенаправленно созданная программа, автоматически приписывающая себя к другим программным продуктам, изменяющая или уничтожающая их. Компьютерные вирусы могут заразить компьютерные программы, привести к потере данных и даже вывести компьютер из строя.

Компьютерные вирусы могут распространяться и проникать в операционную и файловую систему ПК только через внешние магнитные носители (жесткий и гибкий диски, компакт-диски) и через средства межкомпьютерной коммуникации.

Вредоносные программы можно разделить на три класса: черви, вирусы и троянские программы .

Черви - это класс вредоносных программ, использующих для распространения сетевые ресурсы. Используют сети, электронную почту и другие информационные каналы для заражения компьютеров.

Вирусы - это программы, которые заражают другие программы - добавляют в них свой код, чтобы получить управление при запуске зараженных файлов.

Троянские программы - программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к зависанию, воруют конфиденциальную информацию и т.д.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ.

Загрузочные вирусы внедряются в загрузочный сектор диска или сектор, содержащий программу загрузки системного диска.

Файлово-загрузочные вирусы заражают файлы и загрузочные сектора дисков.

По способу заражения вирусы разделяются на резидентные и нерезидентные .

Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.д.) и внедряется в них.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия выделяют неопасные вирусы, которые не мешают работе компьютера, опасные , которые могут привести к различным нарушениям в работе компьютера, и очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными .

Различают следующие виды антивирусных программ:

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и файлах и при обнаружении выдают соответствующие сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или флаги не только находят зараженные вирусами файлы, но и возвращают файлы в исходное состояние. В начале своей работы флаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов.

Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаружение изменения выводится на экран монитора.

Программы-фильтры или сторожа , представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов:

попытка коррекции файлов с расширениями СОМ и ЕХЕ;

изменение атрибутов файла;

прямая запись на диск по абсолютному адресу;

При попытке вирусной атаки сторож посылает сообщение и предлагает запретить или разрешить соответствующие действия.

Программы - вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов.

Признаки заражения компьютера вирусом. Существует ряд признаков, свидетельствующих о заражении компьютера:

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

неожиданное открытие и закрытие лотка CD-ROM-устройства;

произвольный, без вашего участия, запуск на компьютере каких-либо программ;

вывод на экран предупреждения о попытке какой-либо из программ вашего компьютера выйти в Интернет, хотя вы никак не инициировали такое ее поведение (при наличии установленной на вашем компьютере соответствующей антивирусной программы).

Однако не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Существуют и косвенные признаки заражения вашего компьютера:

частые зависания и сбои в работе компьютера;

медленная работа компьютера при запуске программ;

невозможность загрузки операционной системы;

исчезновение файлов и каталогов или искажение их содержимого;

частое обращение к жесткому диску, когда часто мигает лампочка на системном блоке;

Microsoft Internet Explorer зависает или ведет себя неожиданным образом, например окно программы невозможно закрыть.

В 90 % случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на это при их появлении рекомендуем провести полную проверку компьютера на наличие вирусов.

Если вы заметили, что ваш компьютер ведет себя подозрительно, придерживайтесь следующих правил.

Не паникуйте!

Отключите компьютер от Интернета.

Отключите компьютер от локальной сети, если он к ней был подключен.

Если симптом заражения заключается в том, что вы не можете загрузиться с жесткого диска компьютера, т. е. компьютер выдает ошибку, когда вы его включаете, попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows.

Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы, записав их на внешний носитель (дискету, CD-диск, флэш-карту).

Установите антивирусную программу, если вы этого еще не сделали.

Получите последние обновления антивирусных баз.

Установите необходимые настройки антивирусной программы и запустите полную проверку.

Предварительный просмотр:

Чтобы пользоваться предварительным просмотром презентаций создайте себе аккаунт (учетную запись) Google и войдите в него: https://accounts.google.com


Подписи к слайдам:

Защита информации, антивирусная защита

Компьютерный вирус - это целенаправленно созданная программа, автоматически приписывающая себя к другим программным продуктам, изменяющая или уничтожающая их. Компьютерные вирусы могут заразить компьютерные программы, привести к потере данных и даже вывести компьютер из строя. Компьютерные вирусы могут распространяться и проникать в операционную и файловую систему ПК только через внешние магнитные носители (жесткий и гибкий диски, компакт-диски) и через средства межкомпьютерной коммуникации.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютер­ным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Загрузочные вирусы внедряются в загрузочный сектор диска или сектор, содержащий программу загрузки сис­темного диска. Файлово - загрузочные вирусы заражают файлы и загрузочные сектора дисков. Классы вредоносных программ

По способу заражения вирусы разделяются на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам зараже­ния (файлам, загрузочным секторам дисков и т.д.) и внедряется в них. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Классы вредоносных программ

По степени воздействия выделяют: неопасные вирусы, которые не мешают работе компьютера, опасные, которые могут привести к различным нарушениям в работе компьютера, очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска. Классы вредоносных программ

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

1. Программы-детекторы осуществляют поиск характерной для конкретного вируса сиг­натуры в оперативной памяти и файлах и при обнаружении выдают соответствующие сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. 2. Программы-доктора или фаги не только находят зараженные вирусами файлы, но и возвращают файлы в исходное состояние. В начале своей работы флаги ищут вирусы в оперативной памя­ти, уничтожая их, и только затем переходят к «лечению» файлов. Виды антивирусных программ

3. Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаружение изменения выводится на экран монитора. 4. Программы - вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Виды антивирусных программ

5. Программы-фильтры или сторожа, представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов: попытка коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. При попытке вирусной атаки сторож посылает сообщение и предлагает запретить или разрешить соответствующие действия. Виды антивирусных программ

Существует ряд признаков, свидетельствующих о заражении компьютера: вывод на экран непредусмотренных сообщений или изобра­жений; подача непредусмотренных звуковых сигналов; неожиданное открытие и закрытие лотка CD - ROM -устройства; произвольный, без вашего участия, запуск на компьютере каких-либо программ; вывод на экран предупреждения о попытке какой-либо из программ вашего компьютера выйти в Интернет, хотя вы никак не инициировали такое ее поведение (при наличии установленной на вашем компьютере соответствующей антивирусной программы). Признаки заражения вирусом

Признаки заражения вирусом Существуют и косвенные признаки заражения вашего компьютера: частые зависания и сбои в работе компьютера; медленная работа компьютера при запуске программ; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; частое обращение к жесткому диску, когда часто мигает лампочка на системном блоке; Microsoft Internet Explorer зависает или ведет себя неожидан­ным образом, например окно программы невозможно закрыть.