При эксплуатации АС существует возможность разрушения информационных массивов (ИМ), которое приводит к появлению ошибок в результатах, невозможности решения некоторых функциональных задач или к полному отказу АС.
Основными причинами нарушения целостности и готовности ИМ в процессе их непосредственного использования или хранения на носителях являются ошибки и преднамеренные действия операторов и обслуживающего персонала, деструктивные действия компьютерных вирусов, агрессивность внешней среды (температура, влажность и др.), износ носителей информации, сбои и отказы АПС АС, приводящие к разрушению информационных массивов или их носителей. При этом на восстановление больших информационных массивов требуются значительные временные, материальные, интеллектуальные и другие затраты. В критических ситуациях восстановление информационных массивов может оказаться вообще невозможным. Проблема обеспечения целостности и готовности информации при эксплуатации АС заключается в разграничении доступа к ИМ и программно-техническим ресурсам (см.
Вирус Петя удалил мои жесткие диски #shorts
п. 9.4), контроле правильности информационных массивов, обнаружении ошибок, резервировании (дублировании, архивировании) и восстановлении ИМ во внутримашинной информационной базе по зарезервированным ИМ, т.е. в организации и применении мер, обеспечивающих сохранность информации [16]. Методы повышения сохранности информации в АС в зависимости от вида их реализации можно разделить на организационные и аппаратно-программные. Организационные методы повышения сохранности состоят в создании и использовании рациональной технологии эксплуатации (хранения и применения) ИМ, предусматривающей профилактические меры по снижению доли искажений ИМ до определенного допустимого уровня и по обеспечению своевременного предоставления необходимых аутентичных ИМ для автоматизированного решения задач АС.
Основными из них являются: ■ учет и хранение информационных массивов в базах данных АС; ■ контроль за качеством работы операторов и обслуживающего персонала; ■ контроль износа и старения технических средств, функционирования АПС, а также правильности их эксплуатации; ■ профотбор, обучение и стимулирование персонала АС; ■ организация труда персонала АС, обеспечивающая уменьшение возможностей нарушения им требований сохранности ИМ (минимизация сведений и данных, доступных персоналу, минимизация связей (контактов) персонала, дублирование контроля важных операций); ■ обеспечение противопожарной защиты и температурновлажностного режима. Основными аппаратно-программными методами повышения сохранности информации являются: ■ резервирование (дублирование) информации; ■ контроль, обнаружение и исправление ошибок ИМ; ■ контроль верности входных данных и защита от вредительских программ-вирусов; ■ блокировка ошибочных операций.
Резервирование информации является одним из самых эффективных методов обеспечения сохранности информации. Оно обеспечивает защиту информации как от случайных угроз, так и от преднамеренных воздействий. В общем случае способы резервирования ИМ с целью обеспечения сохранности информации включают: ■ оперативное резервирование — создание и хранение резервных рабочих копий ИМ, используемых для решения функциональных задач АС в реальном масштабе времени; ■ восстановительное резервирование — создание и хранение дополнительных резервных (восстановительных) копий ИМ, используемых только для восстановления разрушенных рабочих копий ИМ; ■ долговременное (долгосрочное) резервирование — создание, длительное хранение и обслуживание архивов оригиналов, дубликатов и резервных копий ИМ. При этом хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении или даже в другом здании на случай пожара или стихийного бедствия. Одним из эффективных методов оперативного резервирования является копирование информации на зеркальный диск.
Работа с жёсткими дисками
Зеркальным называют жесткий магнитный диск отдельного накопителя, на котором хранится информация, полностью идентичная информации на рабочем диске. Это достигается за счет параллельного выполнения всех операций записи на оба диска. При отказе рабочего накопителя осуществляется автоматический переход на работу с зеркальным диском в режиме реального времени.
Информация при этом сохраняется в полном объеме. В настоящее время для повышения сохранности информации в ЭВМ все чаще применяют системы дисковых массивов RAID — группы дисков, работающих как единое устройство хранения данных, соответствующее технологии RAID (Redundant Arrays of Inexpensive Discs).
В технологии RAID предусмотрено 6 основных уровней: с нолевого по 5-й, определяющих порядок записи на независимые диски и порядок восстановления информации. Различные уровни RAID обеспечивают различное быстродействие и различную эффективность восстановления информации. Уровень 0 предполагает поочередное использование дисков для записи файлов. Дублирование не используется.
Преимущество подобного решения заключается в увеличении скорости ввода-вывода пропорционально количеству задействованных в массиве дисков. В то же время такое решение не позволяет восстановить информацию при выходе из строя одного из дисков массива. RAID уровня 1 предусматривает зеркальное дублирование информации. На уровне 2 биты информации поочередно размещаются на дисках.
Данные размещаются на дисках с дублированием. На уровне 3 байты данных поочередно записываются на диски. Для восстановления информации при выходе из строя какого-либо из дисков используется не дублирование данных, а контрольная информация, записываемая на специальный выделенный диск. Уровень 4 предполагает поочередную запись на диски блоками и допускает параллельное выполнение запросов на чтение, но запись осуществляется последовательно, так как контрольная информация записывается на один выделенный диск. На уровне 5 осуществляется поочередная запись на диски как блоков данных, так и контрольной информации.
Этот уровень позволяет осуществлять одновременно несколько операций чтения или записи. Реальные КАЮ системы поддерживают несколько уровней, которые выбираются с учетом требований, предъявляемых к внешним запоминающим устройствам конкретной АС.
Для восстановительного и долговременного резервирования используются, как правило, съемные машинные носители: гибкие магнитные диски, жесткие съемные магнитные диски и магнитные ленты, а также оптические диски. Контроль, обнаружение и исправление ошибок ИМ реализуются как в аппаратном варианте, так и в виде программных модулей.
Наиболее распространенными из них являются следующие [16]. Получение контрольных сумм. В качестве дополнительной избыточной информации для проверки целостности ИМ может использоваться сумма всех символов (хранимая в конце ИМ), полученная циклическим сложением после обновления.
Может также применяться обратная величина контрольной суммы, при этом сумма всей информации блока ИМ и обратной величины всегда равна нолю. В случае воздействия различных дестабилизирующих факторов (ошибок, сбоев, вирусов и др.) символ в ИМ может исказиться, тогда соответствующая контрольная сумма изменится и этот факт легко обнаружится при очередной контрольной проверке.
Для обнаружения простых перестановок символов в ИМ, при которых контрольная сумма остается прежней, используют более сложные алгоритмы подсчета контрольной суммы, например, с учетом позиции символа. Кроме того, с целью скрытия контрольной суммы она может подвергаться различным защитным преобразованиям (см. п. 9.4). Использование контрольных чисел.
В качестве дополнительной избыточной информации для проверки целостности ИМ может использоваться цифра (хранимая в конце ИМ), связанная с символами ИМ некоторым соотношением. Например, контрольной цифрой может быть остаток от деления контрольного числа, если используется схема сравнения по модулю (см. п. 9.2). Использование избыточных кодов, позволяющих выявлять и автоматически исправлять имеющиеся в ИМ ошибки (см.
п. 7.3). Программная проверка по четности, обеспечивающая более качественный контроль по сравнению со схемной проверкой четности для каждого бита (слова) за счет выявления ошибок в случае четного количества неверных битов. Например, путем проверки диагональной четности — биты четности соответствуют четности, подсчитываемой по всем диагональным линиям.
Контроль верности входных ИМ. Алгоритмы, реализующие данный метод, достаточно просты. Например, проверку значений цифровых данных осуществляют на основе контроля допустимого диапазона изменения некоторого показателя (вероятность не может быть равна 1,5, скорость распространения радиосигнала не может превышать ЗхЮ 8 м/с и т. д.).
При увеличении масштабов и сложности АС возрастает доля разрушения информации вследствие ошибок операторов и несанкционированных корректировок. Ошибки операторов на этапе ввода и размещения исходных данных являются наиболее опасными, поскольку часто их обнаружение становится возможным спустя значительное время после их появления.
Кроме того, операторы, имеющие доступ к информационным ресурсам АС, для их искажения или разрушения могут использовать специальные вредительские программы-вирусы. Контроль верности входных данных и защита от вирусов.
Основными задачами системы контроля и защиты информации от компьютерных вирусов являются: ■ обнаружение вирусов в АС; ■ блокирование работы программ-вирусов; ■ устранение последствий воздействия вирусов. Для решения данных задач используются специальные антивирусные средства. Обнаружение вирусов должно осуществляться на стадии их внедрения или до начала осуществления деструктивных функций вирусов. При этом необходимо отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возмож- ных вирусов. Основными методами обнаружения вирусов являются [10]: ■ сканирование; • обнаружение изменений; ■ эвристический анализ; ■ использование резидентных сторожей; ■ вакцинация программ; ■ аппаратно-программная защита от вирусов.
Сканирование — один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса — сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру.
Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Данный метод применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах. Самая известная программа-сканер в России — А1б81ез1 Д. Лозинского.
Метод обнаружения изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ- ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков.
По результатам ревизии программа выдает сведения о предположительном наличии вирусов. Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров.
Могут контролироваться также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры. Главным достоинством этого метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Примером программы-ревизора является АсИпГ разработанная Д. Мостовым.
Основным недостатком метода обнаружения изменений служит невозможность определения вируса в ИМ, которые поступают в систему уже зараженными (вирусы будут обнаружены только после размножения в системе), а также вирусов в часто изменяемых ИМ (текстовых документах, таблицах и др.). Эвристический анализ позволяет определять неизвестные вирусы, но при этом не требует предварительного сбора, обработки и хранения информации о файловой системе.
Его сущность заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. При обнаружении «подозрительных» команд в файлах или загрузочных секторах выдается сообщение о возможном заражении. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.
Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в оперативной памяти ЭВМ и отслеживают все действия остальных программ. В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает сообщение пользователю.
Существенным недостатком данного метода является значительный процент ложных тревог. Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма.
При заражении вакцинированного файла модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Самый надежный метод защиты от вирусов — использование аппаратно-программных антивирусных средств. В настоящее время для защиты ЭВМ применяются специальные контроллеры и их программное обеспечение.
Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается.
При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ЭВМ. При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воз- действия на систему.
Следующим шагом является устранение последствий воздействия вирусов, включающее удаление вирусов и восстановление (при необходимости) ИМ. При этом восстановление информации без использования дублирующей информации может быть невыполнимым. Для блокировки ошибочных операций (действий) используются технические и аппаратно-программные средства.
Технические средства применяются в основном для предотвращения ошибочных действий людей. К таким средствам относятся блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записи на магнитные ленты, дискеты и т. п. Аппаратно-программные средства позволяют, например, блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти.
С их помощью может быть заблокирована запись в определенные области внешних запоминающих устройств и некоторые другие операции. На программном уровне могут устанавливаться атрибуты файлов, в том числе и атрибут, запрет,ающий запись в файлы. С помощью программных средств устанавливается режим обязательного подтверждения выполнения опасных операций, таких как уничтожение ИМ, разметка или форматирование носителей информации и др. 9.4.
Источник: lawbooks.news
Методики антивирусных программ
Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами:
Антивирусные программы могут реализовывать все перечисленные выше методики, либо только некоторые из них.
Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.
Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.
Эвристический анализ зачастую используется совместно со сканированием для поиска шифрующихся и полиморфных вирусов. В большинстве случаев эвристический анализ позволяет также обнаруживать и ранее неизвестные вирусы. В этом случае, скорее всего их лечение будет невозможно.
Если эвристический анализатор сообщает, что файл или загрузочный сектор, возможно, заражен вирусом, вы должны отнестись к этому с большим вниманием. Необходимо дополнительно проверить такие файлы с помощью самых последних версий антивирусных программ сканеров или передать их для исследования авторам антивирусных программ.
Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т. д. На обнаружении таких изменений основываются работа антивирусных программ-ревизоров.
Антивирусные программы-ревизоры запоминают характеристики всех областей диска, которые могут подвергнутся нападению вируса, а затем периодически проверяют их. В случае обнаружения изменений, выдается сообщение о том, что возможно на компьютер напал вирус.
Следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные.
Антивирусные программы, постоянно находящиеся в оперативной памяти компьютера и отслеживающие все подозрительные действия, выполняемые другими программами, носят название резидентных мониторов или сторожей. К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования. Они раздражают пользователей большим количеством сообщений, по большей части не имеющим отношения к вирусному заражению, в результате чего их отключают
Глава II
Практическая часть
Общая структура
Общая структура решения по антивирусной защите информационной системы приведена на рисунке 2. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи — это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Рис 2. Общая структура антивирусной защиты.
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.
1. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, поэтому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.
2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию.
Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.
3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.
Основные принципы построения системы антивирусной защиты
Вычислительные сети, как правило, создаются поэтапно, с использованием различного аппаратного и программного обеспечения. Очевидно, что в этом случае вопрос антивирусной защиты становится весьма сложным, причём не только в техническом, но и в финансовом плане.
Вместе с тем решение этого вопроса достигается путём сочетания организационных мер и программно-технических решений.
Заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться
Для того чтобы проекты международных стандартов, принятые техническими комитетами, были опубликованы в качестве международных стандартов, требуется одобрение, по меньней мере, _ % комитетов-членов, принимающих участие в голосовании
(*ответ*) 75
50
60
25
Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг, называется _ согласно Закону «О техническом регулировании», принятом в России 1 июля 2003 года
(*ответ*) стандартом
оценкой соответствия
техническим регулированием
техническим регламентом
Документ, изданный по результатам положительных испытаний в соответствии с правилами системы сертификации и удостоверяющий соответствие сертификационной автоматизированной информационной системы (АИС) конкретному стандарту или другому нормативному документу, — это _ соответствия
(*ответ*) сертификат
удостоверение
грамота
ведомость
Документ, который определяет, какие процедуры и соответствующие ресурсы, кем и когда должны применяться по отношению к конкретному проекту. Продукции, процессу или контракту, – это определение _ по новой редакции стандартов серии 9000 (ISO 9000) Международной организации по стандартизации
(*ответ*) плана качества
качества
руководства по качеству
менеджмента качества
Документ, определяющий систему менеджмента качества организации, – это определение _ по новой редакции стандартов серии 9000 (ISO 9000) Международной организации по стандартизации
(*ответ*) руководства по качеству
качества
плана качества
менеджмента качества
Документы, которые приняты международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или Федеральным законом, или Указом Президента Российской Федерации и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования, — это
(*ответ*) технические регламенты
оценка соответствия
техническое регулирование
национальный стандарт
Должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их
(*ответ*) обработка
назначение
выбор
вывод
Заказчиком разработки государственных стандартов Российской Федераци, устанавливающих основополагающие требования к качеству продукции и услуг, а также работ по разработке и применению международных (региональных) и национальных стандартов других стран в качестве государственных стандартов Российской Федерации, является
(*ответ*) Госстандарт России
Государственная Дума
Президент Российской Федерации
Правительство Российской Федерации
Заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться нападению вирусов, а затем периодически проверяет их, метод
(*ответ*) обнаружения изменений
сканирования
эвристического анализа
резидентных сторожей
Ответ эксперта
Для того чтобы проекты международных стандартов, принятые техническими комитетами, были опубликованы в качестве международных стандартов, требуется одобрение, по меньней мере, _ % комитетов-членов, принимающих участие в голосовании
(*ответ*) 75
50
60
25
Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг, называется _ согласно Закону «О техническом регулировании», принятом в России 1 июля 2003 года
(*ответ*) стандартом
оценкой соответствия
техническим регулированием
техническим регламентом
Документ, изданный по результатам положительных испытаний в соответствии с правилами системы сертификации и удостоверяющий соответствие сертификационной автоматизированной информационной системы (АИС) конкретному стандарту или другому нормативному документу, — это _ соответствия
(*ответ*) сертификат
удостоверение
грамота
ведомость
Документ, который определяет, какие процедуры и соответствующие ресурсы, кем и когда должны применяться по отношению к конкретному проекту. Продукции, процессу или контракту, – это определение _ по новой редакции стандартов серии 9000 (ISO 9000) Международной организации по стандартизации
(*ответ*) плана качества
качества
руководства по качеству
менеджмента качества
Документ, определяющий систему менеджмента качества организации, – это определение _ по новой редакции стандартов серии 9000 (ISO 9000) Международной организации по стандартизации
(*ответ*) руководства по качеству
качества
плана качества
менеджмента качества
Документы, которые приняты международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или Федеральным законом, или Указом Президента Российской Федерации и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования, — это
(*ответ*) технические регламенты
оценка соответствия
техническое регулирование
национальный стандарт
Должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их
(*ответ*) обработка
назначение
выбор
вывод
Заказчиком разработки государственных стандартов Российской Федераци, устанавливающих основополагающие требования к качеству продукции и услуг, а также работ по разработке и применению международных (региональных) и национальных стандартов других стран в качестве государственных стандартов Российской Федерации, является
(*ответ*) Госстандарт России
Государственная Дума
Президент Российской Федерации
Правительство Российской Федерации
Заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться нападению вирусов, а затем периодически проверяет их, метод
(*ответ*) обнаружения изменений
сканирования
эвристического анализа
резидентных сторожей