<<
>>

1.5.6. Защита информации от компьютерных вирусов

Рассмотренные в предыдущих пунктах способы и сред­ства защиты информации являются в значительной мере уни­версальными и могут быть использованы в компьютерных се­тях с любой машинной базой и для любой операционной плат­формы.
Вместе с тем в последние годы появилась необходи­мость разработки совершенно новых средств защиты инфор­мации, предназначенных для противодействия так называ­емым компьютерным вирусам, способным уничтожать или искажать информацию, обрабатываемую на персональных ЭВМ (ПЭВМ). Важность и значимость таких методов опреде­ляется несколькими основными факторам.

Во-первых, ПЭВМ получили весьма широкое распрост­ранение во всех отраслях человеческой деятельности, и в том числе в военной, причем круг непосредственных пользовате­лей машин постоянно расширяется и в скором времени, оче­видно, охватит практически все трудоспособное население.

Во-вторых, к настоящему времени разработаны разно­образные программные средства, существенно облегчающие использование новых информационных технологий, и расши- риласъ область их сбыта и применения, что в ряде случаев способствует распространению "зараженных" программных продуктов.

В-третьих, появилось значительное число программис­тов, способных самостоятельно создавать достаточно слож­ные версии компьютерных вирусов и по различным причи­нам делающих это (в качестве причин могут выступать и весь­ма необычные — от желания испытать свои силы, просла­виться, сделать рекламу своей квалификации и т. п. до со­знательных попыток сорвать работу тех или иных информа­ционных систем).

Следует отметить, что проблема борьбы с компьютер­ными вирусами возникла тогда, когда программисты стали создавать и использовать свои программы в некоторой сис­темной среде, т. е. стали в определенном смысле по отноше­нию друг к другу обезличенными.

И еще одно замечание: раз­работка компьютерных вирусов (и, соответственно, способов и средств борьбы с ними) не является вопросом науки, а име­ет чисто инженерный ("программистский") уровень.

"История" компьютерных вирусов ведет начало с 1984 г., когда Фред Коэн (США) написал программу, которая автома­тически активизировалась и проводила деструктивные изме­нения информации при незаконном обращении к другим про­граммам автора. После этого было создано большое количе­ство программ, предназначенных для вызова тех или иных "вредных" действий, и постепенно сформировалось самосто­ятельное инженерное направление по борьбе с ними.

Компьютерные вирусы были и остаются одной из наи­более распространенных причин потери информации. Дан­ное положение особенно важно для локальных и глобальных компьютерных сетей, объединяющих работу сотен и милли­онов пользователей. Известны случаи, когда вирусы блокиро­вали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека — в одном из госпита­лей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и вы­давал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм (разрабатывающих программы про­тив вирусов), убытки, приносимые компьютерными вируса­ми, не падают и достигают астрономических величин, изме­ряемых сотнями миллионов долларов ежегодно. Особенно эти потери актуальны в больших компьютерных сетях. Так, на­пример, в апреле 1999 г. только по причине деструктивного действия одного компьютерного вируса под названием \Ут95.С1Н во Франции было поражено более 100 тыс. бан­ковских компьютеров с общим ущербом более 300 млн. долл. Надо полагать, что эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.

При этом следует иметь в виду, что используемые анти­вирусные программы и аппаратная часть не дают полной га­рантии защиты от вирусов.

Примерно так же плохо обстоят дела на другой стороне тандема "человек—компьютер". Как прикладные пользователи, так и профессионалы-программи­сты часто не имеют даже навыков "самообороны" от виру­сов, а их представления о проблеме порой весьма и весьма поверхностны.

Что же представляет собой компьютерный вирус? Ком­пьютерный вирус — это специально написанная, как прави­ло, на языке программирования низкого уровня, небольшая по размерам программа, которая может"приписывать" себя к другим программам и выполнять различные нежелатель­ные для пользователя действия на компьютере.

Жизненный цикл вируса включает четыре основных этапа [53]:

♦ внедрение',

♦ инкубационный период (прежде всего для скрытия ис­точника проникновения);

♦ репродуцирование (саморазмножение);

♦ деструкция (искажение и/или уничтожение инфор­мации).

Заметим, что использование медицинской (вирусологи­ческой) терминологии связано с тем, что по характеру жиз­недеятельности и проявлениям программы-вирусы сходны с настоящими ("живыми") вирусами. В этой связи естествен­ным является применение той же терминологии и для спосо­бов и средств борьбы с компьютерными вирусами: "антиви­рус", "карантин", "вакцина", "фаг" и т. п., о чем более под­робно будет сказано далее.

Для реализации каждого из этапов цикла жизни вируса в его структуру включают несколько взаимосвязанных эле­ментов:

♦ часть вируса, ответственная за внедрение и инкубаци­онный период;

♦ часть вируса, осуществляющая его копирование и до­бавление к другим файлам (программам);

♦ часть вируса, в которой реализуется проверка условия активизации его деятельности;

♦ часть вируса, содержащая алгоритм деструктивных действий;

♦ часть вируса, реализующая алгоритм саморазрушения.

Следует помнить, что часто названные части вируса

хранятся отдельно друг от друга, что затрудняет борьбу с ними.

Объекты воздействия компьютерных вирусов можно ус­ловно разделить на две группы:

♦ с целью продления своего существования вирусы пора­жают другие программы, причем не все, а те, кото­рые наиболее часто используются и/или имеют высо­кий приоритет в вычислительной системе (заметим, что сами программы, в которых находятся вирусы, с точки зрения реализуемых ими функций, как правило, не портятся);

♦ деструктивными целями вирусы воздействуют чаще всего на данные, реже — на программы.

Назовем наиболее широко распространившиеся деструк­тивные функции вирусов:

♦ изменение данных в соответствующих файлах;

♦ изменение назначенного магнитного диска, когда за­пись информации осуществляется на неизвестный пользователю диск;

♦ уничтожение информации путем форматирования дис­ка или отдельных треков (дорожек) на нем;

♦ уничтожение каталога файлов или отдельных файлов на диске;

♦ уничтожение (выключение) программ, постоянно на­ходящихся в операционной системе;

♦ нарушение работоспособности ОС, что требует ее пе­риодической перезагрузки;

♦ уничтожение специальных файлов ОС и др.

Классифицировать компьютерные вирусы можно по раз­личным признакам. Укажем четыре из них [53]:

♦ среда обитания;

♦ операционная система;

♦ особенности алгоритма работы;

♦ деструктивные возможности.

По среде обитания вирусы можно разделить на типы:

♦ файловые;

♦ загрузочные;

♦ макровирусы;

♦ сетевые.

Файловые вирусы либо различными способами внедря­ются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой систе­мы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузоч­ный сектор диска (boot-ceKTop), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-ceKTop.

Макровирусы заражают файлы-документы, электронные таблицы и презентации ряда популярных редакторов.

Сетевые вирусы используют для своего распростране­ния протоколы или команды компьютерных сетей и элект­ронной почты.

Существует большое количество сочетаний — напри­мер, файлово-загрузочные вирусы, заражающие как фай­лы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в операци­онную систему, используют стелс- и полиморфик-техноло- гии. Другой пример такого сочетания — сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте (например, "I love you" или "Анна Курникова").

Заражаемая операционная система (вернее, ОС, объек­ты которой подвержены заражению) является вторым уров­нем деления вирусов на классы. Каждый файловый или сете­вой вирус заражает файлы какой-либо одной или нескольких ОС: DOS, Win95/98/NT, OS/2 и т. д. Макровирусы заражают файлы форматов Word, Excel, Power Point, Office 97. За­грузочные вирусы также ориентированы на конкретные фор­маты расположения системных данных в загрузочных секто­рах дисков.

Среди особенностей алгоритма работы вирусов выде­ляются следующие:

♦ резидентность;

♦ использование стелс-алгоритмов;

♦ самошифрование и полиморфичность;

♦ использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера ос­тавляет в оперативной памяти свою резидентную часть, ко­торая затем перехватывает обращения операционной систе­мы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной си­стемы. Нерезидентные вирусы не заражают память компью­тера и сохраняют активность ограниченное время. Некото­рые вирусы оставляют в оперативной памяти небольшие ре­зидентные программы или функции, которые не распрост­раняют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль опера­ционной системы берет на себя редактор, а понятие "пере­загрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено мо­ментом закрытия зараженного DOS-окна, а активность за­грузочных вирусов в некоторых операционных системах ог­раничивается моментом инсталляции дисковых драйверов ОС.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват зап­росов ОС на чтение/запись зараженных объектов. Стелс-ви- русы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызо­вов меню просмотра макросов. Один из первых файловых стелс- вирусов — вирус "Frodo", первый загрузочный стелс-вирус — "Brain".

Самошифрование и полиморфичность используются прак­тически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик- вирусы — это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоян­ного участка кода. В большинстве случаев два образца одно­го и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используют­ся в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус "Зараза"), защитить от обнаружения свою резидентную копию (вирусы "TPVO", "Trout2"), затруднить лечение от вируса (например, помес­тив свою копию в Flash-BIOS) и т. д.

По деструктивным возможностям вирусы можно раз­делить на следующие:

♦ безвредные, т. е. никак не влияющие на работу компью­тера (кроме уменьшения свободной памяти на диске в результате своего распространения);

♦ неопасные, влияние которых ограничивается уменьше­нием свободной памяти на диске и графическими, зву­ковыми и т. п. эффектами;

♦ опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

♦ очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к поте­ре программ, уничтожить данные, стереть необходи­мую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способство­вать быстрому износу движущихся частей механиз­мов — вводить в резонанс и разрушать головки некото­рых типов винчестеров.

На сегодняшний день сложились установившиеся назва­ния для некоторых типов вирусов. Так, "ловушками" называ­ют вирусы, использующие имеющиеся неточности в действу­ющих программах или их несовершенство (например, изме­няющие адрес входа из программы в подпрограммы и обрат­но). "Логические бомбы", или "бомбы замедленного действия", осуществляют длительную и разнообразную подготовку к про­ведению деструктивных действий и затем срабатывают при выполнении определенного комплекса условий (например, выполнении определенного этапа работ, наступлении задан­ного времени, обращении к программе определенного пользо­вателя и т. п.). Эти вирусы особенно опасны в силу длительно­сти периода времени, при котором они себя практически не обнаруживают, хотя уже ведут разрушительную работу. Факт проявления этих вирусов сопряжен с такой степенью порчи данных, что в установленной версии ОС оказываются нера­ботоспособными практически все программы (или их боль­шинство). Таким образом, машина становится полностью не­работоспособной. Вирусы-"черви" вызывают неуправляемое функционирование, например, сетевых или периферийных устройств (бесконечный "прогон" бумаги в принтере, посто­янную перезагрузку операционной системы и т. п.). "Троянс­кими конями" называют вирусы, распространяемые вместе с программным обеспечением специального назначения, при­чем для пользователя оказываются крайне неожиданными их деструктивные действия (например, таким вирусом могут быть заражены сами антивирусные программы). Внешне "троян­цы" могут даже выполнять некие полезные функции (фик­тивно оптимизировать распределение памяти на компьюте­ре, проводить уплотнение информации на диске и т. п.), но на самом деле либо разрушают систему (например, форма­тируют ваш винчестер на низком уровне или операцией мно­гократного и оперативного считывания записи информации способствуют механическому выведению из строя дисковода вашего компьютера), либо отдают контроль в руки другого человека. Пород "троянцев" множество: некоторые из них вообще не выполняют полезных функций, а просто скрытно "живут" на диске ЭВМ и совершают различные деструктив­ные действия, а некоторые, наоборот, совершенно не скры­ваются от пользователя, при этом производя некоторые ма­нипуляции, о которых никто не подозревает (или не должен подозревать). Пример вируса первого типа — известный ви­рус Back Orifice, дающий "врагу" почти полный контроль над вашим компьютером в компьютерной сети и для вас невиди­мый. Пример вируса второго типа — подделки под браузер MS Internet Explorer, который при соединении с сайтом фирмы Майкрософт развивает небывалую активность по пересылке данных с компьютера на сервер Майкрософт, объем которых явно превосходит простой запрос скачиваемого HTML доку­мента (Web-страницы с Интернет).

Для того чтобы применить тот или иной способ борьбы с конкретным вирусом, нужно сначала осуществить его диаг­ностику (хотя следует признать, что все современные ме­тоды диагностики вирусов являются несовершенными). На­званной цели служат программы трех типов:

♦ программы для выявления наличия вируса;

♦ программы для обнаружения и удаления вируса;

♦ программы защиты от вирусов (препятствующие про­никновению новых вирусов).

Борьба с вирусами ведется путем применения программ- антивирусов. Антивирус — программа, осуществляющая обнаружение или обнаружение и удаление вируса. Самыми популярными и эффективными антивирусными программами являются [25] антивирусные сканеры (другие названия: фаги, полифаги). Следом за ними по эффективности и популярнос­ти следуют CRC-сканеры (также: ревизоры, checksumer, integrity checker). Часто оба приведенных метода объединя­ются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Проблема защиты от макровирусов

Поскольку проблема макровирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, на ней следует остановиться подробнее.

Существует несколько приемов и встроенных в Word/ Excel и другие программы функций, направленных на пре­дотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (на­чиная с версий 7.0). Эта защита при открытии файла, содер­жащего любой макрос, сообщает о его присутствии и пред­лагает запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Excel.

Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макро­сами (любыми): она не отличает макросы вируса от не-вируса и выводит предупреждающее сообщение при открытии прак­тически любого файла. По этой причине защита в большин­стве случаев оказывается отключенной, что дает возмож­ность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает — некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от ви­русов и таким образом полностью блокируют ее.

Существуют другие методы противодействия вирусам, например функция DisableAutoMacros, однако она не запре­щает выполнение прочих макросов и блокирует только те вирусы, которые для своего распространения используют один из автомакросов.

Запуск редактора Word с опцией /М (или с нажатой кла­вишей Shift) не является локацией от всех бед, а только от­ключает один макрос AutoExec и таким образом также не может служить надежной защитой от вируса.

Сетевые вирусы

Среди множества известных вирусов особое место зани­мают сетевые вирусы, как правило, они считаются и наибо­лее опасными [24].

Возможность инфицирования компьютерными вирусами корпоративных компьютерных сетей становится все более серьезной проблемой. Опасность действия вирусов определя­ется возможностью частичной или полной потери ценной ин­формации, а также потерей времени и средств, направлен­ных на восстановление нормального функционирования ин­формационных систем.

Обычная корпоративная компьютерная сеть включает в себя сотни рабочих станций, десятки серверов и, как прави­ло, имеет очень сложную структуру. Стоимость обслужива­ния такой сети растет вместе с ростом числа подключенных рабочих станций. При этом расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Основной возможностью их снижения является централиза­ция управления работой антивирусной системы, установ­ленной в корпоративной компьютерной сети. Администратор должен иметь возможность с одного рабочего места вести мониторинг всех точек проникновения вирусов и управлять всеми антивирусными продуктами, перекрывающими эти точки. Компьютерные вирусы проникают в сеть вместе с фай­лами. Основные пути, которыми файлы, зараженные виру­сами, попадают в корпоративную сеть:

♦ копирование инфицированных файлов или при запуске программ и других файлов с переносимых источников (гибких дисков, оптических дисков, Zip, Jazz, Floptical и т. д.);

♦ программное обеспечение, полученное через Web или FTR и сохраненное на локальных рабочих станциях;

♦ файлы, получаемые удаленными пользователями, ко­торые соединяются с корпоративной сетью по модему;

♦ файлы, получаемые при соединении удаленного сервера с сетью для обмена с файловым сервером, сервером приложений или сервером баз данных;

♦ электронная почта, содержащая приложенные зара­женные файлы.

Глобальная компьютерная сеть Интернет на сегодняш­ний день также является основным источником вирусов. Наи­большее число заражений вирусом происходит при обмене письмами в форматах Word/Office. Пользователь зараженно­го макровирусом редактора, сам того не подозревая, рассы­лает зараженные письма адресатам, которые, в свою оче­редь, отправляют новые зараженные письма и т. д. К сете­вым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого ви­руса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью за­пустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запус­ку зараженного файла.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в та­ком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерези­дентный вирус при заражении файлов не разбирается — се­тевой (удаленный) это диск или локальный. В результате та­кой вирус способен заражать файлы в пределах сети, но от­нести его к сетевым вирусам нельзя.

Наибольшую известность приобрели сетевые вирусы кон­ца 1980-х гг., их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы "Cristmas Tree" "Wank Worm&". Для своего распространения они использо­вали ошибки и недокументированные функции глобальных сетей того времени — вирусы передавали свои копии с сер­вера на сервер и запускали их на выполнение. В случае с вирусом Морриса эпидемия захватила даже несколько гло­бальных сетей в США.

После некоторого затишья проблема сетевых вирусов вновь обострилась в начале 1997 г. с появлением вирусов "Macro.Word.ShareFun" и "Win.Homer". Первый из них исполь­зует возможности электронной почты Microsoft Mail — он со­здает новое письмо, содержащее зараженный файл-документ ("ShareFun" является макровирусом), затем выбирает из спис­ка адресов службы MS-Mail (из вашей компьютерной запис­ной книги) три случайных адреса и рассылает по ним зара­женное письмо. Поскольку многие пользователи устанавли­вают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "ав­томатически" внедряется в компьютер адресата зараженно­го письма.

Этот вирус иллюстрирует первый тип современных сете­вых вирусов, которые объединяют возможности встроенного в Word/Excel языка Basic, протоколы и особенности элект­ронной почты, а также функции автозапуска, необходимые для распространения вируса.

Второй вирус ("Homer") использует для своего распрост­ранения протокол FTP (File Transfer Protocol) и передает свою копию на удаленный ftp-cepeep в каталог incoming. По­скольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактери­зовать как "полусетевой", однако это реальный пример воз­можностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Какие же основные правила защиты от компьютерных вирусов? Приведем некоторые из них [19].

Правило первое.

Крайне осторожно относитесь к программам и докумен­там, изготовленным с помощью пакета Microsoft Office (с по­мощью приложений Word/Excel/Power Point/Access), кото­рые вы получаете из глобальных сетей- Перед тем, как запу­стить файл на выполнение или открыть документ/таблицу/ презентацию/базу данных, обязательно проверьте их на на­личие вирусов. Используйте специализированные антивиру­сы — для проверки всех файлов, приходящих по электрон­ной почте (из локальных и глобальных сетей в целом). К со­жалению, на сегодняшний день пока нельзя однозначно на­звать хотя бы один антивирус, который достаточно надежно ловил бы вирусы в проходящих из Интернета файлах, но не исключено, что такие антивирусы появятся в ближайшем будущем.

Правило второе, касающееся защиты локальных сетей.

Для уменьшения риска заразить файл на сервере адми­нистраторам сетей следует активно использовать стандарт­ные возможности защиты сетей: ограничение прав пользо­вателей; установку атрибутов "только на чтение" или даже "только на запуск" для всех выполняемых файлов (к сожале­нию, это не всегда оказывается возможным); скрытие (зак­рытие) важных разделов диска и директорий и т. д.

Используйте специализированные антивирусы, проверя­ющие все файлы, к которым идет обращение. Если это по какой-либо причине невозможно, регулярно проверяйте сер­вер обычными антивирусными программами. Значительно уменьшается риск заражения компьютерной сети при исполь­зовании бездисковых рабочих станций. Желательно также перед тем, как запустить новое программное обеспечение, проверить его на тестовом компьютере, не подключенном к общей сети.

Правило третье.

Лучше приобретать дистрибутивные копии программ­ного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать нелицензионные "пиратские" копии. При этом зна­чительно снижается вероятность заражения.

Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы), причем копии желательно хранить на защищенных от записи дискетах (дисках).

Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов, хотя это не всегда спасает (например, на WWW-сервере Microsoft довольно дол­гое время находился документ, зараженный макровирусом "Wazzu"). По-видимому, единственными надежными с точки зрения защиты от вирусов являются BBS/ftp/WWW антиви­русных фирм-разработчиков.

Правило четвертое.

Старайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно ис­пользовать только программы, полученные из надежных ис­точников. Перед запуском новых программ обязательно про­верьте их одним или несколькими антивирусами. Если даже ни один антивирус не среагировал на файл, который был снят с BBS или электронной конференции — не торопитесь его запускать. Подождите неделю, если этот файл вдруг окажет­ся заражен новым неизвестным вирусом, то, скорее всего, кто-либо потерпит неудобства раньше вас и своевременно сообщит об этом.

Желательно также, чтобы при работе с новым программ­ным обеспечением в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа зара­жена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение.

Все рекомендации приводят к необходимости ограниче­ния круга лиц, допущенных к работе на конкретном компью­тере. Как правило, наиболее часто подвержены заражению "многопользовательские" персональные компьютеры.

Правило пятое.

Пользуйтесь утилитами проверки целостности инфор­мации. Такие утилиты сохраняют в специальных базах дан­ных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т. д.). Периодически сравнивайте информацию, хра­нящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие мо­жет служить сигналом о появлении вируса или "троянской" программы.

Правило шестое.

Периодически сохраняйте на внешнем носителе файлы, с которыми ведется работа. Такие резервные копии носят название Ъаскир-копий. Затраты на копирование файлов, со­держащих исходные тексты программ, базы данных, доку­ментацию, значительно меньше затрат на восстановление этих файлов при проявлении вирусов агрессивных свойств или при сбое компьютера.

При наличии стримера или какого-либо другого внешне­го носителя большого объема имеет смысл делать Ьаскир- копии всего содержимого винчестера. Но поскольку времени на создание подобной копии требуется значительно больше, чем на сохранение только рабочих файлов, такие копии де­лаются гораздо реже.

В качестве вывода отметим, что проблему защиты от вирусов целесообразно рассматривать в общем контексте проблемы защиты информации от несанкционированного до­ступа. Основной принцип, который должен быть положен в основу разработки технологии от вирусов, состоит в создании многоуровневой распределенной системы защиты, включа­ющей регламентацию доступа к ЭВМ, проводимых операций на ЭВМ, применение специальных программных и аппарат­ных средств и т. п.

В заключение подчеркнем три важнейших обстоятель­ства: во-первых, защита информации от несанкционирован­ных действий эффективна только тогда, когда комплексно (системно) применяются все известные способы и средства-, во-вторых, защита должна осуществляться непрерывно; и в-третьих, на защиту информации не нужно жалеть зат­рат денежных, материальных, временных и других ресур­сов, ибо они многократно окупятся сохранением целостности информации.

<< | >>
Источник: Балдин К. В., Уткин В. Б.. Информационные системы в экономике: Учебник. — 5-е изд. — М.: Издательско-торго- вая корпорация «Дашков и К0», — 395 с.. 2008

Еще по теме 1.5.6. Защита информации от компьютерных вирусов:

  1. 1.5.5. Шифрование — специфический способ защиты информации
  2. 1.5.3. Способы и средства защиты информации
  3. 5.2.3. Криптографические методы защиты информации
  4. 5.2. Основные методы и средства защиты информации в АИС
  5. 5.2.4. Защита информации в корпоративных сетях экономических ИС
  6. Глава 5. ЗАЩИТА ИНФОРМАЦИИ В АИС
  7. 5.2. Виды, методы и средства защиты информации в ИС и в ИТ управления 5.2.1. Оценка безопасности ИС
  8. Глава 5 ЗАЩИТА ИНФОРМАЦИИ В ИС И В ИТ УПРАВЛЕНИЯ ОРГАНИЗАЦИЕЙ
  9. Компьютерное тестироеание
  10. Кейс . Компьютерные игры
  11. КОМПЬЮТЕРНЫЕ ИМИТАЦИОННЫЕ ИГРЫ
  12. Аудит в условиях компьютерной обработки данных