 |
|
Захист від комп'ютерних вірусів
Безпека інформації в КС Підприємництва значною мірою залежить від забезпечення організації захисту.
Організація захисту від комп'ютерних вірусів є невід'ємною частиною захисту інформації в КС Підприємництва. Під комп'ютерним вірусом розуміють відокремлено діючу програму, яка має наступні характеристики:
— можливість самостійного впровадження в тіла других програм;
— тиражування свого коду;
— негативного впливу на інформацію та працездатність КС. Проникнення в КС відбувається шляхом активізації зараженої програми або відкриття файлів, які містять макрокоманди. Подальший розвиток комп'ютерного віруса включає наступні етапи:
— інфікування КС;
— інкубаційний період;
— розмноження;
— нелегальний вплив на інформацію та працездатність КС підприємництва.
Класифікація вірусів може розглядатися за їх найбільш істотними ознаками. За об'єктом зараження можуть бути:
— файлові — заражаючі файли з програмами;
— загрузочні — віруси, які заражають програми, що зберігаються в системних областях дисків;
— макровіруси — які заражають файли, що містять макрокоманди. Стосовно режиму функціонування:
— резиденти! віруси — віруси, які після активізації постійно знаходяться в оперативній пам'яті компьютера і контролюють доступ до його ресурсів;
— транзитні віруси (не резиденти!) — віруси, які виконуються тільки під час активності зараженої програми.
Результатом диструктивних дій, що викликані вірусами КС, може бути:
• зміна даних у файлах;
• зміна даних, переданих скрізь паралельні та послідовні порти;
• зміна призначеного диска (інформація записується не на диск, вказаний користувачем, а на вказаний вирусом);
• перейменування файлів (не повідомляючи про це користувача);
• форматування окремих частин жорсткого диска (дискети), або навіть всього диска (дискети);
• знищення каталога диска;
• порушення працездатності операційної системи, коли вона не сприймає зовнішніх дій користувача і вимагає перевантаження;
• зниження продуктивності в результаті постійного виконання «помилкових програм»;
• відмова у виконанні певної функції (наприклад, блокування клавіатури, блокування завантаження програми із захищеної від запису дискети і т. і.);
• стирання інформації на екрані дисплея і т.п. Дуже небезпечними є «дрібні пошкодження» даних (наприклад заміна перших байтів кожного блоку під час запису, заміна окремих символів і т.ін.), які довго можуть бути не розпізнані користувачем.
Кількість рівнів захисту залежить від цінності інформації, яка опрацьовується на ПЕВМ. Для захисту від комп'ютерних вірусів зараз використовуються наступні, методи:
Архівація, яка полягає в копіюванні системних областей магнітних дисків і щоденному веденні архівів змінених файлів. Архівація є одним з основних методів захисту від вірусів. Решта методів захисту доповнює його, але не може замінити повністю.
Вхідний контроль. Перевірка всіх програм, що надходять, детекторами, а також перевірка довжин і контрольних сум програм, що знов надходять, на відповідність значенням, вказаним в документації. Більшість відомих файлових і бутових вірусів можна виявити на етапі вхідного контролю. Для цієї мети використовується батарея (програм, які дещо послідовно запускаються) детекторів. Набір детекторів досить широкий і постійно поповнюється з появою нових вірусів. Проте при цьому можуть бути знайдений не всі віруси, а тільки ті, що розпізнаються детектором. Наступним елементом вхідного контролю є контекстний пошук у файлах слів і повідомлень, які можуть належати. Підозрілою є відсутність в останніх 2-3-х кілобайтах файлу текстових рядків — це може бути ознакою вірусу, який шифрує своє тіло.
Розглянутий контроль може бути виконаний за допомогою спеціальної програми, яка працює з базою даних «підозрілих слів» і повідомлень, і формує список файлів для подальшого аналізу. Після проведеного аналізу нові програми рекомендується кілька днів експлуатувати в карантинному режимі. При цьому доцільно використовувати прискорення календаря, тобто змінювати поточну дату при повторних запусках програми. Це дає змогу знайти віруси, що спрацьовують у певні дні тижня (п'ятниця, 13-те число місяця, неділя і т.д.).
Профілактика. Для профілактики зараження необхідно організувати роздільне зберігання (на різних магнітних носіях) програм, що знов надходять і раніше експлуатувалися, мінімізація періодів доступності дискет для запису, розподіл загальних магнітних носіїв між конкретними користувачами.
Ревізія. Аналіз знов отриманих програм спеціальними засобами (детекторами), контроль цілісності перед читанням інформації, а також періодичний контроль стану системних файлів.
Карантин. Кожна нова програма перевіряється на відомі типи вірусів протягом певного проміжку часу. Для цього слід виділити спеціальну ПЕОМ, на якій не проводяться інші роботи. Якщо неможливо виділити ПЕОМ для карантину програмного забезпечення, то використовують машину, яка відключена від локальної мережі і не містить особливо цінної інформації.
Сегментація. Припускає розбиття магнітного диска на ряд логічних томів (розділів), частина з яких має статус READ_ONLY (тільки читання). У даних розділах зберігаються виконувані програми й системні файли. Бази даних повинні зберігатися в інших секторах, окремо від виконуваних програм. Важливим профілактичним засобом у боротьбі з файловими вірусами є виключення значної частини завантажувальних модулів із сфери досяжності їх. Цей метод називається сегментацією і заснований на розподілі магнітного диска (вінчестера) за допомогою спеціального драйвера, що забезпечує привласнення окремим логічним томам атрибута READ_ONLY (тільки читання), а також підтримуючого схеми парольного доступу. При цьому в захищені від запису розділи диска поміщаються виконувані програми й системні утиліти, а також системи управління базами даних і транслятори, тобто компоненти ПО самі схильні до небезпеки зараження. Як такий драйвер доцільно використовувати програми типу ADVANCED DISK MANAGER (програма для форматування й підготовки жорсткого диска), яка дає змогу не тільки розбити диск на розділи, але й організувати доступ до них за допомогою паролів. Кількість логічних томів, що використовуються, та їх розміри залежать від розв'язуваних задач і об'єму вінчестера. Рекомендується використовувати 3—4 логічні томи, причому на системному диску, з якого виконується завантаження, слід залишити мінімальну кількість файлів (системні файли, командний процесор і т.п.).
Фільтрація. Полягає у використовуванні програм-сторожів для виявлення спроб виконати несанкціоновані дії.
Вакцинація. Спеціальне опрацювання файлів і дисків, що імітує поєднання умов, які використовуються деяким типом вірусу для визначення — заражена вже програма чи ні.
Автоконтроль цілісності. Полягає у використовуванні спеціальних алгоритмів, які дозволяють після запуску програми визначити, чи були внесені зміни в її файл.
Терапія. Припускає дезактивацію конкретного вірусу в уражених програмах спеціальними програмами-фагами. Програми-фаги «викушують» вірус із зараженої програми і намагаються привести її код до початкового стану (стан до моменту зараження). У загальному випадку технологічна схема захисту складається з наступних етапів:
• вхідний контроль нових програм;
• сегментація інформації на магнітному диску;
• захист операційної системи від зараження;
• систематичний контроль цілісності інформації.
Слід зазначити, що не треба прагнути до забезпечення глобального захисту всіх файлів, які є на диску. Це істотно ускладнює роботу і знижує продуктивність.
Проблему захисту від вірусів необхідно розглядати в загальному контексті проблеми захисту інформації від несанкціонованого доступу, а також технологічної та експлуатаційної безпеки ПО в цілому. Основний принцип, який повинен бути основою розробки технології захисту від вірусів, полягає в створенні багаторівневої розподіленої системи захисту, що включає:
— регламентацію проведення робіт на ПЕВМ;
— застосування програмних засобів захисту;
— використовування спеціальних апаратних засобів.