4_2_3.htm 4.2.3. Антивирусная защита Для защиты от вирусов обычно используются: • Общие средства защиты информации, которые полезны так же, как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей • Профилактические меры, позволяющие уменьшить вероятность заражения вирусом • Специализированные программы для защиты от вирусов. К сожалению, количество вирусов и их штаммов быстро увеличивается и характер борьбы может зависеть от вида вируса и его характеристик. В настоящее время для защиты компьютеров и сетей от вирусов имеется достаточное количество программных средств защиты, которые обычно называют антивирусными. Среди многообразия антивирусных программ можно выделить, например, три их основных вида: •Предупреждающие (фильтры) •Обнаруживающие (детекторы) •Опознающие (доктора). Предупреждающие (предотвращающие) программы находятся резидентно в памяти все время. Эти программы фильтруют доступ к файлам (чтение и запись), разрешенный другим программам. Они контролируют загрузку программ в память и проверяют работу всех обслуживающих программ операционной системы (системные таблицы, управляющие структуры и т. д.). При попытке доступа вируса к одной из выполняемых программ предупреж- дающая заражение программа «замораживает» систему, не давая вирусу инфицировать выполняемую программу, и сообщает об этом пользователю. Работа программ обнаружения заражения основана на том, что вирусная информация может быть обнаружена по следам, оставленным вирусом. Такие программы-детекторы используют один из двух вариантов: вакцинацию защищаемых программ (включая самовакцинацию) через контрольные суммы и фиксированное состояние памяти, («снимок» состояния памяти). Программы-вакцины, или иммунизаторы модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, против которого производится вакцинация, считает эти программы или диски уже зараженными. В ходе работы пользователя периодически запускаются программы сверки текущего состояния системы с начальным, которые регистрируют всю критическую к заражению информацию системы. К недостаткам программ-вакцин можно отнести: • Не обнаруживают заражение, если оно произошло до «вакцинации» • Большой объем запоминаемой информации (возрастание длины защищаемой программы) • Увеличение времени загрузки защищаемой программы и времени ее выполнения • Возможность несрабатывания (некоторые вирусы могут обходить известные им программы-вакцины). Программы слежения за состоянием файловой системы похожи на вакцины и реагируют на попытки заражения файлов. Эти программы запоминают отдельные характеристики файлов (длину, контрольную сумму, дату создания и др.) в отдельных специально создаваемых файлах. При этом длины защищаемых файлов не увеличиваются, и процесс слежения за их состоянием для вируса остается незамеченным. Программы слежения универсальны, так как реагируют на инфицирование любыми вирусами. К недостаткам программ слежения можно отнести следующие: • Их эффективность зависит от частоты запуска • Они не в состоянии обнаружить заражение, если оно произошло до запуска программы слежения • Увеличение затрат процессорного времени. Программы определения заражения хорошо работают, когда система уже заражена и уже поздно для предупреждения (наличие вируса очевидно). Эти программы ищут специфические символы, которые могут быть в теле программы вируса, во всех частях системы. Когда они находят такие символы, то тем самым определяют вид вируса и уничтожают его, то есть восстанавливают программу в то состояние, в котором она находилась до заражения вируса, если это возможно. В качестве специфических символов могут использоваться последовательности команд: метки, флаги прерываний, имена файлов и т. п. Программы-мониторы предназначены для блокирования процесса размножения вирусов и других опасных попыток доступа к «винчестеру» и дискетам. Они анализируют все запросы на доступ к дискетам и логическим дискам, имеющие отношение к возможной деятельности вирусов и обеспечивают защиту дисков на уровне работы с файлами (при их создании, открытии, позиционировании, чтению и записи), а также и на уровне доступа к секторам по абсолютным адресам и на уровне физической адресации (цилиндр, дорожка, сектор). Программы-мониторы обеспечивают: • Поднимают тревогу при попытке создать или изменить файлы типа СОМ и ЕХЕ • Отслеживают разные события и обладают возможностью перенастройки в процессе работы • Проверяют законность доступа к файлам на всех уровнях • Имеется возможность настроить программу на защиту определенных логических частей диска • Не позволяют вирусам перехватывать прерывания определенного вида и в большинстве случаев успешно подавляют активность размножения вирусов. Таким образом, программные средства защиты обеспечивают в большой степени обнаружение уже известных видов вирусов и частично их уничтожение. Уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму возможный ущерб от действий вируса, если заражение все же произошло, позволяют некоторые профилактические меры защиты: • Загружайтесь только с использованием «винчестера», если его нет — только с защищенной от записи дискеты • Разделяйте на «винчестере» логические диски для системных программ, программ общего математического обеспечения и программ пользователей с различными атрибутами доступа • Периодически архивируйте изменяемые файлы • Включайте вызов программ-детекторов в командный файл, выполняемый при начальной загрузке • Периодически используйте программы демонстрации содержимого оперативной памяти и определения состояния векторов прерываний (и им подобных) • Обращайте внимание и поднимайте тревогу при изменениях работоспособности компьютера, например,таких как: обращения к дискам кажутся чрезмерными при выполнении данной программы стали часто появляться ошибочные сообщения операционной системы программы или файлы исчезли из каталога произошло уменьшение свободного пространства операционной памяти появились визуальные эффекты, свидетельствующие о наличии вируса. Профилактические меры не могут обеспечить полную гарантию, что заражение вирусом не произойдет по случайной или злоумышленной причине. Поэтому, если заражение все же произошло, то необходимо следовать определенной методике работы. Хотя действия, которые необходимо предпринять для удаления вируса и его последствий, вообще говоря, индивидуальны для каждого вируса (или даже штамма), тем не менее опыт специалистов позволяет сформировать методику действий пользователя при обнаружении заражения: • Определить вид вируса и повреждения, нанесенные им • Выключить зараженный компьютер • Включить компьютер и загрузиться с защищенной от записи дискеты. Убедиться, что загрузка прошла нормально • Не запускать никаких программ зараженной машины на исполнение • Скопировать все невыполняемые файлы на заранее подготовленные чистые дискеты, используя утилиты с загрузочной дискеты • Просмотреть все файлы зараженного диска и составить список выгрузки. Если копии этих файлов есть в архиве на дискетах, то такие файлы можно не выгружать • Подвергнуть оставшиеся файлы обработке антивирусными программами с защищенной от записи дискеты • Если какой-либо файл вызывает сомнение, исключить его из списка выгружаемых файлов • Выгрузить файлы, копий которых нет в архиве (таковыми должны быть только те, которые изменялись после последней выгрузки до момента обнаружения вируса) • Переформатировать зараженный диск и проверить его «чистоту» • Восстановить операционную систему • Восстановить директории • Заменить все выполняемые файлы с архивных (эталонных дискет) • Определить все дискеты, которые ставились или могли быть поставлены на зараженный компьютер. Подвергнуть их обработке антивирусными средствами • Проверить работоспособность программного обеспечения, обращая внимание на возможные проявления данного вируса и используя все имеющиеся в наличии антивирусные программы. При обнаружении заражения «бутовым» вирусом: • Выключить питание зараженного компьютера • Загрузиться с защищенной от записи дискеты • Заменить «бутовый» сектор на пораженном диске. Это позволит устранить вирус, но сохранит его в других секторах, которые вирусы обычно указывают как плохие. Сохранение полной емкости диска достигается переформатированием диска. Аналогичные действия произвести с дискетами, зараженными «бутовым» вирусом. Предотвращение перехвата через нежелательные электромагнитные и акустические поля и излучения Методы защиты основываются на особенностях выделения опасного сигнала на фоне внешних помех и внутренних шумов приемника. Они направлены на достижение такого отношения мощности сигнала к мощности помех и шумов, при котором невозможно качественное обнаружение опасного (информационного) сигнала и его регистрация. В связи с этим технические методы защиты информации от утечки через побочные и наведенные электромагнитные поля можно разделить на три группы: • Пассивные методы, связанные с уменьшением интенсивности нежелательных электромагнитных излучений и полей •Активные методы, связанные с созданием шумовых полей (зашум-ления) в возможной зоне перехвата информации • Методы, основанные на применении высокозащищенных (физически) элементов и технологий, в частности, волоконно-оптических линий связи. Основными техническими методами защиты каналов утечки информации являются методы пассивной и активной защиты. К методам пассивной защиты, локализующим опасные сигналы, относятся: • Экранирование • Фильтрация • Заземление • Применение специальных средств ослабления уровней побочных и наведенных электромагнитных полей. Одним из основных методов снижения интенсивности нежелательных электромагнитных полей до требуемого уровня является экранирование информационных средств, их элементов и соединительных линий, а также помещений, в которых эти средства размещаются. При его реализации используются средства полного экранирования (экранированные помещения, контейнеры и т.п.) и частичного экранирования (экранирующие щиты, проволочные сетки, металлизированные стекла и ткани, токопроводящие эмали, смолы, смазки и т. д.) В последние годы наблюдается тенденция все более широкого применения частичного и локального (схемотехнического) экранирования с использованием экранов из специальных проводящих пластмасс и диэлектрических экранов, армированных металлической сеткой или с металлическим напылением. Экранирование теоретически позволяет понизить уровень нежелательного электромагнитного поля. Фильтрация сигналов, как один из основных методов, используется в различных сечениях (высокочастотных и низкочастотных трактах, сигнальных цепях и т. п.) информационных систем, в цепях электропитания, электрочасофикации, пожарной и охранной сигнализации для ослабления нежелательных излучений, исключения воздействия навязываемых высокочастотных сигналов и прохождения опасных сигналов за пределы контролируемой территории. Основное назначение защитных фильтров — пропускать без значительного ослабления сигналы с частотами, лежащими в их рабочей полосе частот, и подавлять сигналы с частотами, лежащими за пределами этой полосы. Реальные фильтры обеспечивают затухание опасных сигналов на несколько порядков. Применяются и другие пассивные методы и средства защиты информации, например, заземление, поглощающие и неотражающие покрытия и согласованные нагрузки, поглощающие высокочастотные ферритовые кольца, устанавливаемые на кабели и др. В ряде случаев эти методы все-таки не обеспечивают необходимого ослабления опасного сигнала за пределами контролируемой зоны. Кроме того, применение средств пассивной защиты может значительно увеличить массу и габариты защищаемого информационного объекта и существенно усложнить процесс его эксплуатации. В таких ситуациях используют системы и средства активной защиты. Методы активной защиты основаны на создании маскирующих и имитирующих помех для энергетического подавления информационного (опасного) сигнала в канале утечки — электромагнитное зашумление, а также на дополнительном структурном преобразовании информации (кодировании) — кодовое зашумление. Различают следующие виды электромагнитного зашумления — линейное (зашумление опасных сигналов в кабелях, проводах и токоведущих конструкциях) и пространственное (создание маскирующих помех в пространстве). Специфическим видом электромагнитного зашумления является «са-мозашумление», возможное при параллельной независимой работе нескольких компьютеров или при использовании мультипрограммного режима работы отдельного компьютера. Система линейного зашумления представляет собой генератор шумового сигнала, формирующий шумовое напряжение с заданными энергетическими и спектральными характеристиками, который подключается в за-шумляемую токоведущую цепь. В системах пространственного зашумления с помощью специальных антенн осуществляется излучение маскирующих помех в окружающее пространство. При применении систем активного электромагнитного зашумления необходимо учитывать их возможное влияние на качество работы защищаемых и других информационных объектов, расположенных в зоне действия преднамеренных помех. В этом случае более целесообразным может оказаться использование кодового зашумления. Для достижения наилучших результатов необходимо комплексно использовать средства активной и пассивной защиты, и среди них средства с высокой скрытностью опасных сигналов, в частности, волоконно-оптические линии связи. Однако основным способом сохранения секретности данных и сообщений является применение шифрования информации на основе разнообразных криптографических методов. Конфиденциальная информация, как правило, должна храниться в зашифрованном виде. В этом случае угроза раскрытия данных будет существенно снижена даже в том случае, когда механизмы идентификации, аутентификации и управления доступом будут преодолены. Использование шифрования сокращает риск перехвата и чтения проходящих транзитом через компьютерные сети сообщений конфиденциального характера. Только пользователь сети, обладающий истинным ключом, может расшифровать сообщение после его получения. Для обеспечения конфиденциальности данных и сообщений могут быть использованы следующие средства и процедуры защиты информации: • Шифрование данных и сообщений • Защита от перехвата информации в передающей среде компьютерной сети и ее компонентах • Маскирование содержания сообщений • Ограничение широковещательной передачи сообщений с помощью маршрутизаторов сети.