- •Кибардин а.В. Методы и средства Защиты компьютерной информации
- •1 Информационная безопасность как часть проблемы интегральной безопасности человека
- •Виды атак на компьютерную информацию
- •Атаки на уровне субд
- •Атаки на уровне ос
- •Атаки на уровне спо
- •Основная терминология
- •Государственная политика России в области информационной безопасности
- •2 Аппаратная реализация современных методов несанкционированного доступа к информации Технические каналы утечки информации. Классификация технических средств несанкционированного доступа к информации
- •Системы контроля компьютеров и компьютерных сетей
- •Угрозы информации в вычислительных сетях
- •3 Программная реализация современных методов нсд к информации
- •Программные закладки
- •Компьютерные вирусы
- •4 Методы защиты информации Установление подлинности
- •Парольная защита
- •Физические методы аутентификации
- •Установление полномочий
- •Матрица установления полномочий
- •Уровни полномочий
- •Регистрация
- •5 Преобразование секретной информации (криптография)
- •Симметричные криптосистемы
- •Подстановки
- •Перестановки
- •Блочные шифры
- •Потоковые шифры
- •Ассимметричные криптосистемы
- •6 Компьютерная стеганография
- •7 Сжатие (архивация информации)
- •Алгоритм Хоффмана
- •Алгоритм Лемпеля–Зива
- •Алгоритмы сжатия изображений
- •8 Защита от программ-шпионов Защита от программных закладок (пз)
- •Защита от клавиатурных шпионов
- •Защита от парольных взломщиков
- •Защита от компьютерных вирусов
- •Типы антивирусов
8 Защита от программ-шпионов Защита от программных закладок (пз)
Задача защиты от ПЗ может рассматриваться в трех вариантах:
- не допустить внедрения ПЗ в компьютерную систему;
- выявить внедренную ПЗ;
- удалить внедренную ПЗ.
При рассмотрении этих вариантов решение задачи защиты от ПЗ сходно с решением проблемы защиты от компьютерных вирусов. Как и в случае вирусов (см. далее) задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютерной системе и за критическими для функционирования системы событиями.
Универсальным средством защиты от внедрения ПЗ является создание изолированного компьютера. Компьютер называется изолированным, если:
- в нем установлена BIOS (базовая система ввода-вывода), не содержащая ПЗ;
- ОС проверена на наличие в ней ПЗ;
- достоверно установлена неизменность BIOS и ОС для данного сеанса;
- на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок;
- исключен запуск проверенных программ вне изолированного компьютера.
Выявление внедренного кода ПЗ заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на два класса:
- качественные и визуальные;
- обнаруживаемые средствами тестирования и диагностики.
К качественным и визуальным признакам отнесем ощущения и наблюдения пользователя, отмечающие отклонения в работе компьютерной системы (изменение длины и состава файлов, исчезновение файлов, изменение скорости работы прикладных программ и т.д.).
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для вирусов.
Конкретный способ удаления ПЗ зависит от метода ее внедрения в компьютерную систему. Если это программно-аппаратная закладка, то следует перепрограммировать ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная закладка или закладка-имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, прикладную или служебную программу, полученную из заслуживающего доверие источника.
Особую разновидность ПЗ составляют троянские программы. Троянской программой называтся:
- программа, которая являясь частью другой программы с известными пользователю функциями, способна тайно выполнять некоторые дополнительные действия с целью причинения ущерба компьютерной системе;
- программа с известными ее пользователю функциями, в которые внесены изменения с тем, чтобы помимо этих функций она могла выполнять некоторые другие действия.
Большинство программных средств, предназначенных для защиты от троянских программ, используют согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос, изменились ли файлы и каталоги с момента их последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. В качестве характеристик такие атрибуты файлов, как время последней модификации и размер. Поскольку эти атрибуты могут быть подделаны троянской программой, то более надежной характеристикой является контрольная сумма файла, для вычисления которой используется специальный алгоритм, называемый односторонним хэшированием.
В семействе ОС Windows средства борьбы с троянцами традиционно являются частью их антивирусного обеспечения, например Norton AntiVirus.