Методы обеспечения информационной безопасности. Антивирусная защита. Сканирование сигнатур.

Введение

В настоящее время очень широко используется термин «информационная безопасность». За последнее время процент использования компьютерных сетей, особенно Интернета значительно вырос, поэтому сегодня термин «компьютерная безопасность» используется для описания проблем, связанных с сетевым использованием компьютеров и их ресурсов. Современные информационные технологии требуют организации высокого уровня защиты данных.
Компьютерная безопасность имеет большое значение для обеспечения защиты систем обработки и хранения данных. Объектами компьютерной безопасности являются ресурсы, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей и другие элементы информационной инфраструктуры.
Жизнь современного общества невозможно представить без постоянного применения информационных технологий. При помощи компьютеров, вычислительных систем и сетей осуществляется обслуживание банковских систем, происходит контроль над работой атомных реакторов, за расписанием поездов и самолетов, осуществляется управление космическими кораблями. Вычислительные системы, сети [1,2] и телекоммуникации определяют надежность и мощность систем обороны и безопасности страны. Компьютеры обеспечивают сохранение информации, ее обработку и предоставление ее потребителям, реализуя таким образом информационные технологии.
«Информационная» индустрия превратилась в один из секторов мировой экономики, который развивается наиболее динамично и имеет большие перспективы дальнейшего роста. Становится все более очевидным, что будущее современного общества наряду с природными ресурсами будут определять информационные ресурсы и услуги. Современные информационные технологии создали условия для перехода общества к новой постиндустриальной фазы развития, которую часто называют информационным обществом. Информационные ресурсы сегодня стали необходимым условием эффективной деятельности во всех сферах жизни общества. Однако именно высшая степень автоматизации, к которому стремится современное общество, ставит его в зависимость от степени безопасности используемых им информационных технологий, от которых зависит благополучие, благосостояние и даже жизнь множества людей. Технический прогресс обладает одной неприятной особенностью - в каждом его достижении всегда таится что-то, что ограничивает его развитие и на каком-то этапе обращает его достижение не во благо, а во вред человечеству.
Применительно к информационным технологиям это означает, что широкое внедрение популярных дешевых вычислительных систем и сетей массового спроса и применения делает их чрезвычайно уязвимыми по деструктивным воздействиям.
Как показывает анализ исторических фактов и опыт последних лет, постоянно разрабатываются и внедряются новые виды и формы обработки информации [3]. А с другой стороны параллельно изобретаются новые виды и формы ее защиты [4].


1. Методы обеспечения информационной безопасности

Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации.
Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические [5], представлены на рисунке 1.

Рис. 1 Методы обеспечения информационной безопасности

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.
Переход к рыночным отношениям в экономике вызвал появление на внутреннем российском рынке товаров и услуг множества отечественных и зарубежных коммерческих структур – производителей и потребителей информации, средств информатизации и защиты информации. Бесконтрольная деятельность этих структур по созданию и защите систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает реальную угрозу безопасности России в экономической сфере. Аналогичные угрозы возникают при бесконтрольном привлечении иностранных фирм к созданию подобных систем, поскольку при этом складываются благоприятные условия для несанкционированного доступа к конфиденциальной экономической информации и для контроля за процессами ее передачи и обработки со стороны иностранных спецслужб.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:
– лицензирование деятельности организаций в области защиты информации;
– аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
– сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
–Введение

территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
– создание и применение информационных и автоматизированных систем управления в защищенном исполнении.


2. Антивирусная защита. Сканирование сигнатур.

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы компьютера вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения.
Антивирусные средства применяются для решения следующих задач [6]:
1. обнаружение вирусов в компьютере;
2. блокирование работы программ-вирусов;
3. устранение последствий воздействия вирусов. Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Необходимо отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.
При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.
Устранение последствий воздействия вирусов ведется в двух направлениях:
1. удаление вирусов;
2. восстановление (при необходимости) файлов, областей памяти. Восстановление системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу деструктивных действий.
Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.
Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами.
Существуют три рубежа защиты от компьютерных вирусов:
1

. предотвращение поступления вирусов;
2. предотвращение вирусной атаки, если вирус все-таки поступил на компьютер;
3. предотвращение разрушительных последствий, если атака все-таки произошла.
Существуют три метода реализации защиты:
1. программные методы защиты;
2. аппаратные методы защиты;
3. организационные методы защиты.
В вопросе защиты ценных данных часто используют бытовой подход: «болезнь лучше предотвратить, чем лечить». К сожалению, именно он и вызывает наиболее разрушительные последствия. Создав бастионы на пути проникновения вирусов в компьютер, нельзя положиться на их прочность и остаться неготовым к действиям после разрушительной атаки. К тому же, вирусная атака — далеко не единственная и даже не самая распространенная причина утраты важных данных. Существуют программные сбои, которые могут вывести из строя операционную систему, а также аппаратные сбои, способные сделать жесткий диск неработоспособным. Всегда существует вероятность утраты компьютера вместе с ценными данными в результате кражи, пожара или иного стихийного бедствия. Поэтому создавать систему безопасности следует в первую очередь «с конца» — с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража в помещении или физический выход жесткого диска из строя. Надежная и безопасная работа с данными достигается только тогда, когда любое неожиданное событие, в том числе и полное физическое уничтожение компьютера, не приведет к катастрофическим последствиям. Основным средством защиты информации является резервное копирование наиболее ценных данных.
В случае утраты информации по любой из вышеперечисленных причин жесткие диски переформатируют и подготавливают к новой эксплуатации. На «чистый» отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под ее управлением устанавливают все необходимое программное обеспечение, которое тоже берут с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.
При резервировании данных следует также иметь в виду и то, что надо отдельно сохранять все регистрационные и парольные данные для доступа к сетевым службам Интернета. Их не следует хранить на компьютере. Обычное место хранения — служебный дневник в сейфе руководителя подразделения. Создавая план мероприятий по резервному копированию информации, необходимо учитывать, что резервные копии должны храниться отдельно от компьютера. То есть, например, резервирование информации на отдельном жестком диске того же компьютера только создает иллюзию безопасности.
Относительно новым и достаточно надежным приемом хранения ценных, но не конфиденциальных данных является их хранение в Web-папках на удаленных серверах в Интернете. Есть службы, бесплатно предоставляющие пространство (до нескольких Мбайт) для хранения данных пользователя. Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают необходимость создания не менее двух резервных копий, сохраняемых в разных местах. Между копиями осуществляют ротацию.
Например, в течение недели ежедневно копируют данные на носители резервного комплекта «А», а через неделю их заменяют комплектом «Б» и т. д. Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неаккуратный пользователь.
Основные виды антивирусных программ представлены на рисунке 2.

Рис. 2 - Виды антивирусных программ

Существует достаточно много программных средств антивирусной защиты. Они предоставляют следующие возможности.
1. Создание образа жесткого диска на внешних носителях (например, на CD или DVD дисках). В случае выхода из строя данных в системных областях жесткого диска сохраненный «образ диска» может позволить восстановить если не все данные, то по крайней мере их большую часть. Это же средство может защитить от утраты данных при аппаратных сбоях и при неаккуратном форматировании жесткого диска.
2. Регулярное сканирование жестких дисков в поисках компьютерных вирусов. Сканирование обычно выполняется автоматически при каждом включении компьютера и при размещении внешнего диска в считывающем устройстве. При сканировании следует иметь в виду, что антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база данных устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надежной работы следует регулярно обновлять антивирусную программу. Желательная периодичность обновления — один раз в неделю.
3. Контроль изменения размеров и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры зараженных файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя. 4. Контроль обращений к жесткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе обращены на модификацию данных, записанных на жестком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.
Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами.
Можно выделить разновидности антивирусов, исходя из методов обнаружения вирусов и методов удаления вирусов.
Известны следующие методы обнаружения вирусов [7]:
- сканирование сигнатур;
- обнаружение изменений;
- эвристический анализ;
- использование резидентных сторожей;
- вакцинирование программ; - аппаратно-программная защита от вирусов.
Сканирование сигнатур - один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами. Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.
Метод обнаружения изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков