- •II. Методы и средства защиты информации в компьютерных системах 28
- •Глава 12. Построение комплексных систем защиты информации 210
- •Глава 13. Организация функционирования комплекс ных систем защиты информации 245
- •Глава 1
- •1.1. Предмет защиты
- •5. Сложность объективной оценки количества информации.
- •1.2. Объект защиты информации
- •Глава 2
- •2.1. Случайные угрозы
- •2.2.4. Несанкционированная модификация структур
- •II. Методы и средства защиты информации в компьютерных системах
- •Глава 3
- •3.1. Правовое регулирование в области безопасности информации
- •3.1.1. Политика государства рф в области безопасности информационных технологий
- •3.2. Общая характеристика организационных методов защиты информации в кс
- •Глава 4
- •4.1. Дублирование информации
- •4.2. Повышение надежности кс
- •4.3. Создание отказоустойчивых кс
- •4.4. Блокировка ошибочных операций
- •4.5. Оптимизация взаимодействия пользователей и обслуживающего персонала с кс
- •Глава 5
- •5.1. Система охраны объекта кс
- •5.1.1. Инженерные конструкции
- •5.1.2. Охранная сигнализация
- •5.1.5. Дежурная смена охраны
- •5.2. Организация работ с конфиденциальными информационными ресурсами на объектах кс
- •5.3. Противодействие наблюдению в оптическом диапазоне
- •5.4. Противодействие подслушиванию
- •5.5. Средства борьбы с закладными подслушивающими устройствами
- •5.6. Защита от злоумышленных действий обслуживающего персонала и пользователей
- •Глава 6
- •6.2. Активные методы защиты от пэмин
- •Глава 7
- •7.1. Общие требования к защищенности кс от несанкционированного изменения структур
- •7.2. Защита от закладок при разработке программ
- •7.2.2. Автоматизированная система разработки программных средств
- •7.3. Защита от внедрения аппаратных закладок на этапе разработки и производства
- •7.4. Защита от несанкционированного изменения структур кс в процессе эксплуатации
- •Глава 8
- •8.1. Система разграничения доступа к информации в кс
- •8.1.3. Концепция построения систем разграничения доступа
- •8.2. Система защиты программных средств от копирования и исследования
- •8.2.1. Методы, затрудняющие считывание скопированной информации
- •8.2.2. Методы, препятствующие использованию скопированной информации
- •Глава 9
- •9.2. Шифрование. Основные понятия
- •9.3.3.Аналитические методы шифрования
- •9.3.4. Аддитивные методы шифрования
- •9.5.1. Российский стандарт на шифрование информации гост 28147-89
- •Глава 10
- •10.1. Классификация компьютерных вирусов
- •10.2. Файловые вирусы
- •10.2.2. Алгоритм работы файлового вируса
- •10.2.3. Особенности макровирусов
- •10.3. Загрузочные вирусы
- •10.4. Вирусы и операционные системы
- •10.5.2. Методы удаления последствий заражения вирусами
- •Глава 11
- •11.2. Особенности защиты информации в ркс
- •11.7. Особенности защиты информации в базах данных
- •Глава 12
- •12.2. Этапы создания комплексной системы защиты информации
- •12.3. Научно-исследовательская разработка ксзи
- •12.4.1. Специальные методы неформального моделирования
- •12.7.1. Классический подход
- •12.7.2. Официальный подход
- •12.8. Создание организационной структуры ксзи
- •Глава 13
10.5.2. Методы удаления последствий заражения вирусами
В процессе удаления последствий заражения вирусами осуществляется удаление вирусов, а также восстановление файлов и областей памяти, в которых находился вирус. Существует два метода удаления последствий воздействия вирусов антивирусными программами.
Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания.
Второй метод позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами. Для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход - уничтожить файл и восстановить его вручную.
175
Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и установить ОС.
Существуют вирусы, которые, попадая в ЭВМ, становятся частью его ОС. Если просто удалить такой вирус, то система становится неработоспособной.
Одним из таких вирусов является вирус One Half. При загрузке ЭВМ вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным секторам резидентный вирус One Half перехватывает обращения и расшифровывает информацию. Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске. Для этого необходимо знать механизм действия вируса.
10.6. Профилактика заражения вирусами компьютерных систем
Чтобы обезопасить ЭВМ от воздействия вирусов, пользователь, прежде всего, должен иметь представление о механизме действия вирусов, чтобы адекватно оценивать возможность и последствия заражения КС. Главным же условием безопасной работы в КС является соблюдение ряда правил, которые апробированы на практике и показали свою высокую эффективность.
Правило первое. Использование программных продуктов, полученных законным официальным путем.
Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
Правило второе. Дублирование информации.
Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Если создается копия на несъемном носителе, то желательно ее создавать на других ВЗУ или ЭВМ. Ко-
176
пируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
Правило третье. Регулярно использовать антивирусные средства. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры (Aidstest и Adinf). Антивирусные средства должны регулярно обновляться.
Правило четвертое. Особую осторожность следует проявлять при использовании новых съемных носителей информации и новых файлов. Новые дискеты обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы - на наличие файловых вирусов. Проверка осуществляется программами-сканерами и программами, осуществляющими эвристический анализ (Aidstest, Doctor Web, AntiVirus). При первом выполнении исполняемого файла используются резидентные сторожа. При работе с полученными документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.
Правило пятое. При работе в распределенных системах или в системах коллективного пользования целесообразно новые сменные носители информации и вводимые в систему файлы проверять на специально выделенных для этой цели ЭВМ. Целесообразно для этого использовать автоматизированное рабочее место администратора системы или лица, отвечающего за безопасность информации. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
Правило шестое. Если не предполагается осуществлять запись информации на носитель, то необходимо заблокировать выполнение этой операции. На магнитных дискетах 3,5 дюйма для этого достаточно открыть квадратное отверстие.
Постоянное следование всем приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации.
В особо ответственных системах для борьбы с вирусами необходимо использовать аппаратно-программные средства (например, Sheriff).
7 В. И. Завгородний 177
10.7. Порядок действий пользователя
при обнаружении заражения ЭВМ вирусами
Даже при скрупулезном выполнении всех правил профилакти ки возможность заражения ЭВМ компьютерными вирусами полностью исключить нельзя. И если вирус все же попал в КС, то по»-следствия его пребывания можно свести к минимуму, придерживаясь определенной последовательности действий.
О наличии вируса в КС пользователь может судить по следующим событиям:
появление сообщений антивирусных средств о заражении или о предполагаемом заражении;
явные проявления присутствия вируса, такие как сообщения, выдаваемые на монитор или принтер, звуковые эффекты, уничтожение файлов и другие аналогичные действия, однозначно указывающие на наличие вируса в КС;
неявные проявления заражения, которые могут быть вызваны и другими причинами, например, сбоями или отказами аппаратных и программных средств КС.
К неявным проявлениям наличия вирусов в КС можно отнести «зависания» системы, замедление выполнения определенных действий, нарушение адресации, сбои устройств и тому подобное.
Получив информацию о предполагаемом заражении, пользователь должен убедиться в этом. Решить такую задачу можно с помощью всего комплекса антивирусных средств. Убедившись в том, что заражение произошло, пользователю следует выполнить следующую последовательность шагов:
Шаг 1. Выключить ЭВМ для уничтожения резидентных вирусов.
Шаг 2. Осуществить загрузку эталонной операционной системы со сменного носителя информации, в которой отсутствуют вирусы.
Шаг 3. Сохранить на сменных носителях информации важные для вас файлы, которые не имеют резервных копий.
Шаг 4. Использовать антивирусные средства для удаления вирусов и восстановления файлов, областей памяти. Если работоспособность ЭВМ восстановлена, то осуществляется переход к шагу 8, иначе - к шагу 5.
178
Шаг 5. Осуществить полное стирание и разметку (форматирование) несъемных внешних запоминающих устройств. В ПЭВМ для этого могут быть использованы программы MS-DOS FDISK и FORMAT. Программа форматирования FORMAT не удаляет главную загрузочную запись на жестком диске, в которой может находиться загрузочный вирус [55]. Поэтому необходимо выполнить программу FDISK с недокументированным параметром MBR, создать с помощью этой же программы разделы и логические диски на жестком диске. Затем выполняется программа FORMAT для всех логических дисков.
Шаг 6. Восстановить ОС, другие программные системы и файлы с дистрибутивов и резервных копий, созданных до заражения.
Шаг 7. Тщательно проверить файлы, сохраненные после обнаружения заражения, и, при необходимости, удалить вирусы и восстановить файлы;
Шаг 8. Завершить восстановление информации всесторонней проверкой ЭВМ с помощью всех имеющихся в распоряжении пользователя антивирусных средств.
При выполнении рекомендаций по профилактике заражения компьютерными вирусами, а также при умелых и своевременных действиях в случае заражения,вирусами, ущерб информационным ресурсам КС может быть сведен к минимуму.
Контрольные вопросы
Назовите признаки классификации компьютерных вирусов.
Поясните принцип действия «стелс»-вирусов и полиморфных вирусов.
Приведите структуру файлового вируса и поясните алгоритм его работы.
В чем заключаются особенности алгоритмов функционирова ния макровирусов и загрузочных вирусов?
Дайте характеристику методов обнаружения вирусов.
Назовите методы удаления последствий заражения вирусами.
Перечислите профилактические меры предотвращения зараже ния вирусами КС.
Приведите порядок действий пользователя при заражении ЭВМ вирусами.
т 179