Антивирусная защита компьютерной сети. Угрозы информационной безопасности. Дать классификацию угроз информационной безопасности. Как понять, что компьютер заражен

Смоленский колледж телекоммуникаций
(филиал)
федерального государственного бюджетного
образовательного учреждения высшего образования
«Санкт-Петербургский государственный университет
телекоммуникаций им. проф. М.А. Бонч-Бруевича»

КОНТРОЛЬНОЕ ЗАДАНИЕ ПО
МДК.03.02 Технология применения комплексной системы защиты информации

для студентов заочной формы обучения
специальности
11.02.08 Средства связи с подвижными объектами

Смоленск, 2016

Составитель: Скряго О.С. – преподаватель высшей категории СКТ(ф)СПбГУТ

Контрольное задание по междисциплинарного курса разработано на основе Федеральных государственных образовательных стандартов среднего профессионального образования специальности 11.02.08 Средства связи с подвижными объектами, утвержденного приказом Министерства образования и науки РФ от «28» июля 2014 г. № 810.

Общие указания

В соответствии с учебным планом представлено контрольное задание по МДК.03.02 Технология применения комплексной системы защиты информации, составленное в десяти вариантах. Номер варианта (с 1 по 10) определяется, согласно установленному порядку на каждый учебный год.
Контрольное задание содержит десять вариантов. Каждый вариант состоит из трех заданий. Для успешного выполнения домашней контрольной работы необходимо проработать материал по учебнику в соответствии с рекомендациями в данном контрольном задании.
Ответы к заданиям должны быть последовательными, краткими, по существу вопросов. Если при выполнении домашней контрольной работы возникают трудности, то следует обращаться за письменной или устной консультацией к преподавателям МДК.03.02 Технология применения комплексной системы защиты информации.

Порядок выполнения работы

Работа должна быть аккуратно оформлена.
Работа выполняется в отдельной тетради темными чернилами. Допускается оформление работы в печатном виде на листах формата А4.
Каждое задание начинается с новой страницы.
Необходимо четко выделять вопросы в виде подзаголовков, нумеровать страницы, выбирать шрифты и выравнивание в соответствии с общепринятыми стандартами.
Необходимо оставлять поля для замечаний преподавателя.
Условие задания записывается полностью.
Решение необходимо кратко пояснять. В конце работы необходимо привести список используемой учебной литературы, поставить подпись и дату.
Контрольная работа, выполненная небрежно или по неправильно выбранному варианту, возвращается обучающемуся без проверки.
Если работа не зачтена, она выполняется заново.
Получив проверенную работу и отзыв, студенту следует ознакомиться с отзывом, подумать над критическими замечаниями, внести необходимые изменения и дополнения.

Контрольное задание

Вариант 1.
Задание 1.
Описать понятие информационной безопасность в сетях мобильной связи. Структурные схемы систем защиты информации в типовых ИС. Показатели защищенности систем мобильной связи.

Задание 2.
Описать программную аутентификацию и идентификация в сетевых операционных системах (в одной из операционных систем WINDOWS, LINUX, UNIX, NOVELL и др.)

Задание 3.
Вы работаете системным администратором в образовательном учреждении. Согласно приказу, на Вас возложены обязанности по фильтрации интернет контента с целью ограждения студентов от запрещенных материалов. Каким образом Вы будете обеспечивать фильтрацию интернет пространства, доступного студентам? Какие программные продукты Вам понадобятся? Какого рода сайты занесены в список запрещенных сайтов?

Вариант 2.
Задание 1.
Описать сервисы, обеспечивающие информационную безопасность в системах мобильной связи: ограничение физического доступа к автоматизированным системам; идентификация и аутентификация пользователей; ограничение доступа в систему; разграничение доступа; регистрация событий (аудит); криптографическая защита; контроль целостности; управление политиками безопасности; уничтожение остаточной информации; резервирование данных; сетевая защита; защита от утечки и перехвата информации по техническим каналам.

Задание 2.
Описать методы разграничения доступа в сетевых операционных системах.

Задание 3.
Механизм заражения вирусами сотового телефона с помощью MMS-сообщений. Что использует злоумышленник для реализации атаки? Опишите способы защиты от атаки.
Вариант 3.
Задание 1.
Описать типовые удаленные сетевые атаки и их характеристика. Обеспечение конфиденциальности абонента.

Задание 2.
Описать регистрацию и аудит в сетевой операционной системе.

Задание 3.
Необходимо обеспечить безопасность корпоративной сети. Опишите комплекс мероприятий, которые Вам надлежит провести.
Вариант 4.
Задание 1.
Компьютерные вирусы и защита от них. Антивирусные программы и комплексы. Построение систем антивирусной защиты телекоммуникационных систем и сетей.

Задание 2.
Описать программные решения механизмов межсетевого экранирования.

Задание 3.
Вам необходимо скрыть информацию от других пользователей. Опишите Ваши действия.
Вариант 5.
Задание 1.
Описать защиту информации в системах мобильной связи. Обеспечение информационной безопасности в стандарте GSM, CDMA и др.

Задание 2.
Описать программно-аппаратные решения механизмов межсетевого экранирования.

Задание 3.
Для формирования электронной цифровой подписи Вам необходимо вычислить хеш-код для сообщения «Билет» с простыми числами 31 и 11. Поясните процесс вычисления хеш-кода.

Вариант 6.
Задание 1.
Описать технологии защиты данных. Принципы криптографической защиты информации (симметричные и асимметричные алгоритмы шифрования, электронная цифровая подпись, стеганография). Различные технологии аутентификации. Технологии защиты межсетевого обмена данных.

Задание 2.
Описать работу с анализаторами перехвата данных

Задание 3.
Зашифруйте сообщение «Технология применения комплексной системы защиты информации» шифром Цезаря с ключевым словом «связь» и ключом 13. Поясните процесс шифрования.
Вариант 7.

Задание 1.
Описать технологию обеспечения безопасности сетевых операционных систем.

Задание 2.
Описать применение антивирусной защиты в информационных системах.

Задание 3.
Вы получили электронное уведомление от провайдера с просьбой перейти по ссылке для подтверждения своих личных данных, так как после технических работ, сервер вышел из строя и База Клиентов формируется заново для чего и необходимо уточнить Ваши данные. Опишите Ваши действия. Охарактеризуйте данное уведомление.
Вариант 8.
Задание 1.
Описать основы технологии виртуальных защищенных сетей VPN.

Задание 2.
Описать виды и конфигурирования VPN-туннелей (программно-аппаратные решения).

Задание 3.
Зашифруйте сообщение «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ МОБИЛЬНОЙ СВЯЗИ» шифром Цезаря с ключевым словом «связь» и ключом 11. Поясните процесс шифрования.
Вариант 9.

Задание 1.
Описать технологию обнаружения вторжений (анализ защищенности и обнаружения сетевых атак). Требования по защите от несанкционированного доступа.

Задание 2.
Описать защиту информации с использованием криптографических шифров.

Задание 3.
Для формирования электронной цифровой подписи Вам необходимо вычислить хеш-код для сообщения «Связь» с простыми числами 11 и 51. Поясните процесс вычисления хеш-кода.

Вариант 10.
Задание 1.
Описать технические средства обеспечения безопасности подвижных объектов.
Задание 2.
Описать шифрование файловых систем ОС и генерация ключей (сертификатов)
Задание 3.
Вы работаете системным администратором в компании. Одного из сотрудников (стажер) отправили в командировку, и по какой-то причине у него на ноутбуке не оказалось программы для создания презентации, и он не знает, как ее установить. Опишите Ваши действия, чтобы помочь сотруднику.

Коды проверяемых профессиональных и общих компетенций при выполнении данного контрольного задания:
ПК 3.2. Применять системы анализа защищенности для обнаружения уязвимости в сетевой инфраструктуре, выдавать рекомендации по их устранению.
ПК 3. 3. Обеспечивать безопасное администрирование систем и сетей.
ОК1. Понимать сущность и социальную значимость своей будущей профессии, проявлять к ней устойчивый интерес;
ОК2. Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество;
ОК3. Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность;
ОК4. Осуществлять поиск и использование информации, необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития;
ОК8. Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации.

Теоретические сведения
Тема 1. Классификация компьютерных вирусов

По среде "обитания" вирусы делятся на:
файловые;
загрузочные;
макровирусы;
сетевые.
Файловые вирусы внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макровирусы заражают файлы-документы и электронные таблицы популярных офисных приложений.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний – например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс- и полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS – DOS, Windows, и т. д. Макровирусы заражают файлы форматов Word, Excel, пакета Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
По особенностям алгоритма работы вирусы делятся на:
резидентные;
стелс-вирусы;
полиморфик-вирусы;
вирусы, использующие нестандартные приемы.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. К резидентным относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.
В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.
Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса. Полиморфик-вирусы (polymorphic) – это достаточно труднобнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
По деструктивным возможностям вирусы можно разделить на:
безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже повредить аппаратные средства компьютера.

Тема 2. Антивирусные программы

Одним из наиболее эффективных способов борьбы с вирусами является использование антивирусного программного обеспечения. Антивирусная программа – программа, предназначенная для поиска, обнаружения, классификации и удаления компьютерного вируса и вирусоподобных программ.
Вместе с тем необходимо признать, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить новый алгоритм вируса, невидимого для этого антивируса.
При работе с антивирусными программами необходимо знать некоторые понятия:
Ложное срабатывание – детектирование вируса в незараженном объекте (файле, секторе или системной памяти).
Пропуск вируса – недетектирование вируса в зараженном объекте.
Сканирование по запросу – поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания.
Сканирование налету – постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т. п.). В этом режиме антивирус постоянно активен, он присутствует в памяти "резидентно" и проверяет объекты без
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, CRC-сканеры (ревизоры). Существуют также антивирусы блокировщики и иммунизаторы.
Сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.
Во многих сканерах используются также алгоритмы "эвристического сканирования", т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.
Сканеры также можно разделить на две категории – "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.
Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится хранить и пополнять, и относительно небольшая скорость поиска вирусов.
CRC-сканеры. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие "анти-стелс" алгоритмы реагируют практически на 100 % вирусов сразу после появления изменений на компьютере. Характерный недостаток этих антивирусов заключается в невозможности обнаружения вируса с момента его появления и до тех пор, пока не будут произведены изменения на компьютере. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в восстанавливаемых файлах или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.
Блокировщики. Антивирусные блокировщики – это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К "вирусоопасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочный сектор диска и др., которые характерны для вирусов в моменты из размножения.
К достоинствам блокировщиков относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно активизируется.
Иммунизаторы. Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.
Качество антивирусной программы определяется несколькими факторами. Перечислим их по степени важности:
Надежность и удобство работы – отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц, упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов.
Существование версий антивируса под все популярные платформы (DOS, Windows, Linux и т. д.).
Возможность сканирование "налету".
Существование серверных версий с возможностью администрирования сети.
Скорость работы.
Тема 3. Профилактика компьютерных вирусов

Профилактика – один из способов защиты компьютеров от вирусов.
Компьютерная профилактика предполагает соблюдение правил ("компьютерной гигиены"), позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных.
Профилактика компьютерных вирусов начинается с выявления путей проникновения вируса в компьютер и компьютерные сети.
Основными путями проникновения вирусов в компьютеры пользователей являются: глобальные и локальные сети, пиратское программное обеспечение, персональные компьютеры "общего пользования", сервисные службы.
Основной источник вирусов на сегодняшний день - глобальная сеть Интернет.
Наибольшее число заражений вирусом происходит при обмене электронными письмами через почтовые серверы E-mail.
Для исключения заражения вирусами внимательно относитесь к программам и документам, которые получаете из глобальных сетей.
Прежде чем запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте его на наличие вирусов.
Используйте специализированные антивирусы – для проверки "налету" (например, SpIDer Guard из пакета Dr. Web и др.) всех файлов, приходящих по электронной почте (и из Интернета в целом).
Постоянно обновляйте вирусные базы используемого антивируса.
Тема 4. Обнаружение неизвестного вируса

Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк выводимых на экран при активизации вируса.
Отсутствие или изменение строки-заголовка boot-сектора (строка, название фирмы-производителя программного обеспечения) также может служить сигналом о заражении вирусом.
Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из "стелс"-вирусов.
Обнаружить резидентный Windows-вирус можно, если загрузить DOS и проверить запускаемые файлы Windows.
Для проверки системы на предмет наличия вируса можно использовать пункт меню Сервис/макрос, если обнаружены неизвестные макросы, то они могут принадлежать вирусу.
Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows.
При анализе алгоритма вируса необходимо выяснить: способ(ы) размножения вируса, характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках, метод лечения оперативной памяти и зараженных файлов (секторов).
Тема 5. Классификация удаленных угроз в вычислительных сетях

Субъект атаки (или источник атаки) – это атакующая программа или злоумышленник, непосредственно осуществляющие воздействие.
Маршрутизатор – устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.
Подсеть – совокупность узлов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети.
Сегмент сети – физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина".
Удаленные угрозы классифицируются по следующим признакам:
по характеру воздействия (пассивные, активные);
по цели воздействия (нарушение конфиденциальности, нарушение целостности и нарушение доступности информации);
по условию начала осуществления воздействия (атака по запросу от атакуемого объекта, атака по наступлению ожидаемого события на атакуемом объекте и безусловная атака);
по наличию обратной связи с атакуемым объектом (с обратной и без обратной связи);
по расположению субъекта атаки относительно атакуемого объекта (внутрисегментное и межсегментное);
по уровню модели ISO/OSI, на котором осуществляется воздействие.
Тема 6. Типовые удаленные атаки и их характеристика

Типовая удаленная атака – это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной сети.
Анализ сетевого трафика заключается в прослушивании канала связи.
По характеру воздействия анализ сетевого трафика является пассивным воздействием (класс 1.1). Осуществление данной атаки без обратной связи (класс 4.2) ведет к нарушению конфиденциальности информации (класс 2.1) внутри одного сегмента сети (класс 5.1) на канальном уровне OSI (класс 6.2). При этом начало осуществления атаки безусловно по отношению к цели атаки (класс 3.3).
Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация (определение подлинности) удаленных друг от друга объектов.
В том случае, когда в вычислительной сети используют нестойкие алгоритмы идентификации удаленных объектов, оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта сети (т. е. подмена объекта или субъекта сети).
Подмена доверенного объекта распределенной вычислительной сети является активным воздействием (класс 1.2), совершаемым с целью нарушения конфиденциальности (класс 2.1) и целостности (класс 2.2) информации, по наступлению на атакуемом объекте определенного события (класс 3.2). Данная удаленная атака может являться как внутрисегментной (класс 5.1), так и межсегментной (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи (класс 4.2) с атакуемым объектом и осуществляется на сетевом (класс 6.3) и транспортном (класс 6.4) уровнях модели OSI.
Целью удаленной атаки "ложный объект" является внедрение в сеть ложного объекта путем изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного объекта в распределенную сеть может быть реализовано навязыванием ложного маршрута, проходящего через ложный объект.
Навязывание ложного маршрута – активное воздействие (класс 1.2), совершаемое с любой из целей из класса 2, безусловно по отношению к цели атаки (класс 3.3). Данная типовая удаленная атака может осуществляться как внутри одного сегмента (класс 5.1), так и межсегментно (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи с атакуемым объектом (класс 4.2) на транспортном (класс 6.3) и прикладном (класс 6.7) уровне модели OSI.

Целью удаленной атаки "отказ в обслуживании" является нарушение работоспособности соответствующего узла сети или сервиса, предоставляемого им другим пользователям.
Типовая удаленная атака "отказ в обслуживании" является активным (класс 1.2) однонаправленным воздействием (класс 4.2), осуществляемым с целью нарушения работоспособности системы (класс 2.3) на транспортном (класс 6.4) и прикладном (класс 6.7) уровнях модели OSI.

Тема7.Причины успешной реализации удаленных угроз в вычислительных сетях

Базовым принципом обеспечения информационной безопасности для любых объектов информационных отношений является борьба не с угрозами, являющимися следствием недостатков системы, а с причинами возможного успеха нарушений информационной безопасности.
Причины успешной реализации удаленных угроз в вычислительных сетях:
отсутствие выделенного канала связи между объектами вычислительной сети;
недостаточная идентификация объектов и субъектов сети;
взаимодействие объектов без установления виртуального канала;
отсутствие контроля за виртуальными каналами связи между объектами сети;
отсутствие в распределенных вычислительных сетях возможности контроля за маршрутом сообщений;
отсутствие в распределенных вычислительных сетях полной информации о ее объектах;
отсутствие в распределенных вычислительных сетях криптозащиты сообщений.

Тема 8. Идентификация и аутентификация

Идентификация и аутентификации применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы).
Общий алгоритм работы таких систем заключается в том, чтобы получить от субъекта (например, пользователя) информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.
Идентификация – присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным.
Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.
В качестве идентификаторов в системах аутентификации обычно используют набор символов (пароль, секретный ключ, персональный идентификатор и т. п.), который пользователь запоминает или для их запоминания использует специальные средства хранения (электронные ключи). В системах идентификации такими идентификаторами являются физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т. п.) или особенности поведения (особенности работы на клавиатуре и т. п.).
В последнее время получили распространение комбинированные методы идентификации и аутентификации, требующие, помимо знания пароля, наличие карточки (token) – специального устройства, подтверждающего подлинность субъекта.
Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам.
В целом аутентификация по уровню информационной безопасности делится на три категории: статическая аутентификация, устойчивая аутентификация и постоянная аутентификация.
Постоянная аутентификация является наиболее надежной, поскольку обеспечивает идентификацию каждого блока передаваемых данных, что предохраняет их от несанкционированной модификации или вставки.

Тема 9. Криптография и шифрование

Любая криптосистема включает: алгоритм шифрования, набор ключей, используемых для шифрования и систему управления ключами.
Криптосистемы решают такие проблемы информационной безопасности как обеспечение конфиденциальности, целостности данных, а также аутентификация данных и их источников.
Основным классификационным признаком систем шифрования данных является способ их функционирования.
В системах прозрачного шифрования (шифрование "на лету") криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя.
Классические криптографические методы делятся на два основных типа: симметричные (шифрование секретным ключом) и асимметричные (шифрование открытым ключом).
В симметричных методах для шифрования и расшифровывания используется один и тот же секретный ключ.
Асимметричные методы используют два взаимосвязанных ключа: для шифрования и расшифрования. Один ключ является закрытым и известным только получателю. Его используют для расшифрования. Второй из ключей является открытым, т. е. он может быть общедоступным по сети и опубликован вместе с адресом пользователя. Его используют для выполнения шифрования.
Для контроля целостности передаваемых по сетям данных используется электронная цифровая подпись, которая реализуется по методу шифрования с открытым ключом.
Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.
При практической реализации электронной подписи также шифруется не все сообщение, а лишь специальная контрольная сумма – хэш, защищающая послание от нелегального изменения. Электронная подпись здесь гарантирует как целостность сообщения, так и удостоверяет личность отправителя.
Безопасность любой криптосистемы определяется используемыми криптографическими ключами.
Тема 10. Методы разграничение доступа

После выполнения идентификации и аутентификации подсистема защиты устанавливает полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.
Обычно полномочия субъекта представляются: списком ресурсов, доступным пользователю и правами по доступу к каждому ресурсу из списка.
Существуют следующие методы разграничения доступа:
Разграничение доступа по спискам.
Использование матрицы установления полномочий.
Разграничение доступа по уровням секретности и категориям.
Парольное разграничение доступа.
При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в подсистемах безопасности операционных систем и систем управления базами данных.
Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.

Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток – пустые).

Субъект
Диск с:\
Файл d:\prog. exe
Принтер

Пользователь 1
Чтение
Запись
Удаление
Выполнение
Удаление
Печать
Настройка параметров

Пользователь 2
Чтение
Выполнение
Печать
с 9:00 до 17:00

Пользователь 3
Чтение
Запись
Выполнение
Печать
с 17:00 до 9:00

Разграничение доступа по уровням секретности и категориям заключается в разделении ресурсов информационной системы по уровням секретности и категориям.
При разграничении по степени секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен, например, пользователь имеющий доступ к данным "секретно", также имеет доступ к данным "конфиденциально" и "общий доступ".
При разграничении по категориям задается и контролируется ранг категории пользователей. Соответственно, все ресурсы информационной системы разделяются по уровням важности, причем определенному уровню соответствует категория пользователей. В качестве примера, где используются категории пользователей, приведем операционную систему Windows 2000, подсистема безопасности которой по умолчанию поддерживает следующие категории (группы) пользователей: "администратор", "опытный пользователь", "пользователь" и "гость". Каждая из категорий имеет определенный набор прав. Применение категорий пользователей позволяет упростить процедуры назначения прав пользователей за счет применения групповых политик безопасности.
Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.
На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.
Разграничение прав доступа является обязательным элементом защищенной информационной системы. Напомним, что еще в "Оранжевой книге США" были введены понятия:
произвольное управление доступом;
принудительное управление доступом.
В ГОСТе Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации" и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа:
дискретное управление доступом;
мандатное управление доступом.
Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.
Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.
При внимательном рассмотрении можно заметить, что дискретное управление доступом есть ничто иное, как произвольное управление доступом (по "Оранжевой книге США"), а мандатное управление реализует принудительное управление доступом.

Тема 11. Регистрация и аудит
Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защите, анализировать закономерности системы, оценивать работу пользователей.
Механизм регистрации основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
Аудит системных событий – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день).
Механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
Регистрация событий, связанных с безопасностью информационной системы, включает как минимум три этапа: сбор и хранение информации о событиях, защита содержимого журнала регистрации и анализ содержимого журнала регистрации.
Методы аудита могут быть статистические и эвристические.
Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".
Тема 12. Межсетевое экранирование

Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации.
Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети и по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов.
Межсетевые экраны разделяют на четыре типа:
межсетевые экраны с фильтрацией пакетов;
шлюзы сеансового уровня;
шлюзы прикладного уровня;
межсетевые экраны экспертного уровня.
Наиболее комплексно задачу экранирования решают межсетевые экраны экспертного уровня, которые сочетают в себе элементы всех типов межсетевых экранов.

Тема 13. Технология виртуальных частных сетей (VPN)

Виртуальные частные сети являются комбинацией нескольких самостоятельных сервисов (механизмов) безопасности:
шифрования (с использование инфраструктуры криптосистем);
экранирования (с использованием межсетевых экранов);
туннелирования.
При реализации технологии виртуальных частных сетей на все компьютеры, имеющие выход в Интернет (вместо Интернета может быть и любая другая сеть общего пользования), устанавливаются VPN-агенты, которые обрабатывают IP-пакеты, передаваемые по вычислительным сетям.
В виртуальной частной сети обмен данными между двумя локальными сетями снаружи представляется как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для внешней атаки информация, например, внутренние IP-адреса сети, в этом случае недоступна.
Для передачи данных VPN-агенты создают виртуальные каналы между защищаемыми локальными сетями или компьютерами (такой канал называется "туннелем", а технология его создания называется "туннелированием").
Одной из обязательных функций VPN-агентов является фильтрация пакетов.
Фильтрация пакетов реализуется в соответствии с настройками VPN-агента, совокупность которых образует политику безопасности виртуальной частной сети.
Для повышения защищенности виртуальных частных сетей на концах туннелей целесообразно располагать межсетевые экраны.

Вопросы по МДК.03.02 Технология применения комплексной системы защиты информации

1. Информационная безопасность в сетях мобильной связи. Структурные схемы систем защиты информации в типовых ИС. Показатели защищенности систем мобильной связи.
2. Программная аутентификация и идентификация в сетевых операционных системах (в одной из операционных систем WINDOWS, LINUX, UNIX, NOVELL и др.)
3. Сервисы, обеспечивающие информационную безопасность в системах мобильной связи: ограничение физического доступа к автоматизированным системам; идентификация и аутентификация пользователей; ограничение доступа в систему; разграничение доступа; регистрация событий (аудит); криптографическая защита; контроль целостности; управление политиками безопасности; уничтожение остаточной информации; резервирование данных; сетевая защита; защита от утечки и перехвата информации по техническим каналам.
3. Методы разграничения доступа в сетевых операционных системах.
4. Типовые удаленные сетевые атаки и их характеристика. Обеспечение конфиденциальности абонента.
5. Регистрация и аудит в сетевой операционной системе.
6. Компьютерные вирусы и защита от них. Антивирусные программы и комплексы. Построение систем антивирусной защиты телекоммуникационных систем и сетей.
7. Программные решения механизмов межсетевого экранирования.
8.Защита информации в системах мобильной связи. Обеспечение информационной безопасности в стандарте GSM, CDMA и др.
9.Программно-аппаратные решения механизмов межсетевого экранирования.
10. Технологии защиты данных. Принципы криптографической защиты информации (симметричные и асимметричные алгоритмы шифрования, электронная цифровая подпись, стеганография). Различные технологии аутентификации. Технологии защиты межсетевого обмена данных.
11. Работа с анализаторами перехвата данных
12. Технология обеспечения безопасности сетевых операционных систем.
13. Основы технологии виртуальных защищенных сетей VPN.
14. Технология обнаружения вторжений (анализ защищенности и обнаружения сетевых атак). Требования по защите от несанкционированного доступа.
15. Технические средства обеспечения безопасности подвижных объектов.

ЛИТЕРАТУРА:

Основная:
Гришина, Н.В. Комплексная система защиты информации на предприятии: учебное пособие/ Н.В. Гришина.- М.:ФОРУМ, 2011 – 240 с.: ил. – ISBN 978-5-91134-369-9
Калинкина, Т.И. Телекоммуникационные и вычислительные сети. Архитектура, стандарты и технологии: учеб пособие / Т.И. Калинкина, Б.В.Костров, В.Н. Ручкин. – СПб.: БХВ – Петербург, 2013.- 288 с.: ил. – ISBN 978-5-9775-0673-5
Петренко, С. А. Аудит безопасности Intranet. / С.А.Петренко, А.А. Петренко М.: ДМК-Пресс, 2012 г. 416 с. ISBN 5-94074-183-5
Петренко, С. А. Политики информационной безопасности / С.А.Петренко, В.А.Курбатов М.: ДМК-Пресс, 2012 г. 400 с. ISBN 5-98453-124-6
Родичев, Ю. А. Информационная безопасность: нормативно-правовые аспекты. Учебное пособие / Ю.А.Родичев СПб.: Питер, 2012 г. 272 с. ISBN 978-5-388-00169-3

Дополнительная:
Голицына, О.Л. Информационные технологии: учебник. – 2-е изд., перераб. и доп. / О.Л. Голицына, Н.В.Максимов, Т.Л.Партыка, И.И.Попов – М.: ФОРУМ: ИНФРА-М, 2008. – 608 с.: ил. – ISBN 978-5-91134-178-7
Куприянов, А.И. Основы защиты информации: учеб. пособие для студ. высш. учеб. Заведений / А.И.Куприянов, А.В. Сахаров, В.А.Шевцов. – 3-е изд., стер. – М.: Издательский центр «Академия», 2008. – 256 с. – ISBN 978-5-7695-5761-3
Максимов, Н.В. Компьютерные сети: учебное пособие для студентов учреждений среднего профессионального образования. – 3-е изд., испр. и доп. / Н.В. Максимов, И.И. Попов. – М.: ФОРУМ, 2008. – 448 с.: ил. – ISBN 978-5-91134-235-7
Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей: учеб. пособие для студ. высш. учеб. Заведений / В.В.Платонов. – М.: Издательский центр «Академия» , 2008. – 240 с. – ISBN 5-7695-2706-4
Сёмкин, С.Н. Основы правового обеспечения защиты информации. Учебное пособие для вузов / С.Н.Сёмкин, А.Н.Сёмкин. – М.: Горячая линия – Телеком, 2008. – 238 с.: ил. – ISBN 978-5-9912-0016-5
Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства / В.Ф.Шаньгин. - М.: ДМК Пресс, 2008. – 544 с.: ил. – ISBN 5-94074-383-8

Рисунок 15Рисунок 18Рисунок 20Рисунок 38Рисунок 40Рисунок 41Рисунок 49Рисунок 57

Одним из условий безопасной работы в информационной системе является соблюдение пользователем ряда правил, которые проверены на практике и показали свою высокую эффективность. Их несколько:

1. Использование программных продуктов, полученных законным официальным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
2. Дублирование информации. Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
3. Регулярное обновление системного ПО. Операционную систему необходимо регулярно обновлять и устанавливать все исправления безопасности от Microsoft и других производителей, чтобы устранить существующие уязвимости программного обеспечения.
4. Ограничение доступа пользователей к настройкам операционной системы и системным данным. Для обеспечения стабильной работы системы довольно часто требуется ограничивать возможности пользователей, что можно сделать либо с помощью встроенных средств Windows, либо с помощью специализированных программ, предназначенных для управления доступом к компьютеру.

   В корпоративных сетях возможно применение групповых политик в сети домена Windows.

5. Для максимально эффективного использования сетевых ресурсов необходимо вводить ограничения доступа авторизованных пользователей к внутренним и внешним сетевым ресурсам и блокировать доступ неавторизованных пользователей.
6. Регулярное использование антивирусных средств. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры. Антивирусные базы должны регулярно обновляться. Кроме того, необходимо проводить антивирусный контроль сетевого трафика.
7. Защита от сетевых вторжений обеспечивается применением программно-аппаратных средств, в том числе: использованием межсетевых экранов, систем обнаружения/предотвращения вторжений IDS/IPS (Intrusion Detection/Prevention System), реализацией технологий VPN (Virtual Private Network).
8. Применение средств аутентификации и криптографии – использование паролей (простых/сложных/неповторяющихся) и методов шифрования. Не рекомендуется использовать один и тот же пароль на разных ресурсах и разглашать сведения о паролях. При написании пароля на сайтах следует быть особенно внимательным, чтобы не допустить ввода своего пароля на мошенническом сайте-двойнике.
9. Особую осторожность следует проявлять при использовании новых (не известных) съемных носителей информации и новых файлов. Новые съёмные носители обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы – на наличие файловых вирусов. При работе в распределенных системах или в системах коллективного пользования новые сменные носители информации и вводимые в систему файлы целесообразно проверять на специально выделенных для этой цели компьютерах, не подключенных к локальной сети. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
10. При работе с полученными (например, посредством электронной почты) документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.
11. Если не предполагается осуществлять запись информации на внешние носители, то необходимо заблокировать выполнение этой операции, например, программно отключив USB-порты.
12. При работе с общими ресурсами в открытых сетях (например, Интернет) использовать только проверенные сетевые ресурсы, не имеющие вредоносного контента. Не следует доверять всей поступающей на компьютер информации – электронным письмам, ссылкам на Web-сайты, сообщениям на Интернет-пейджеры. Категорически не рекомендуется открывать файлы и ссылки, приходящие из неизвестного источника.

Постоянное следование приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации. Однако даже при скрупулезном выполнении всех правил профилактики возможность заражения ПК компьютерными вирусами полностью исключить нельзя, поэтому методы и средства противодействия вредоносному ПО необходимо постоянно совершенствовать и поддерживать в работоспособном состоянии.

Антивирусные средства защиты информации

Массовое распространение вредоносного программного обеспечения, серьезность последствий его воздействия на информационные системы и сети вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения.

Нужно отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных программ-вирусов.

Антивирусные средства применяются для решения следующих задач:

• обнаружение вредоносного ПО в информационных системах;
• блокирование работы вредоносного ПО;
• устранение последствий воздействия вредоносного ПО.

Обнаружение вредоносного ПО желательно осуществлять на стадии его внедрения в систему или, по крайней мере, до начала осуществления им деструктивных действий. При обнаружении такого программного обеспечения или его деятельности необходимо сразу же прекратить работу программы-вируса в целях минимизации ущерба от ее воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

• удаление вирусов;
• восстановление (при необходимости) файлов, областей памяти.

Процедуру удаления обнаруженного вредоносного кода из зараженной системы необходимо выполнять крайне аккуратно. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его уничтожения становится достаточно нетривиальной.

Восстановление системы зависит от типа вируса, а также от времени его обнаружения по отношению к началу деструктивных действий. В том случае, когда программа-вирус уже запущена в системе и ее деятельность предусматривает изменение или удаление данных, восстановление информации (особенно, если она не продублирована) может быть невыполнимо.Для борьбы с вирусами используются программные и программно-аппаратные средства, которые применяются в определенной последовательности и комбинации, образуя методы защиты от вредоносного ПО.

Известны следующие методы обнаружения вирусов, активно применяемые современными антивирусными средствами:

• сканирование;
• обнаружение изменений;
• эвристический анализ;
• использование резидентных сторожей;
• использование программно-аппаратной защиты от вирусов.

Сканирование – один из самых простых методов обнаружения вирусов, осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры . Под сигнатурой понимается уникальная последовательность байтов, принадлежащая конкретному вирусу и не встречающаяся в других программах.

Программа фиксирует наличие уже известных вирусов, для которых сигнатура определена. Для эффективного применения антивирусных программ, использующих метод сканирования, необходимо регулярное обновление сведений о новых вирусах.

Метод обнаружения изменений базируется на использовании программ-ревизоров, которые следят за изменениями файлов и дисковых секторов на компьютере. Любой вирус каким-либо образом изменяет систему данных на диске. Например, может измениться загрузочный сектор, появиться новый исполняемый файл или измениться уже существующий, и т.п.

Как правило, антивирусные программы-ревизоры определяют и запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров диска. Периодически ревизор проверяет текущее состояние областей дисков и файловой системы, сравнивает с предыдущим состоянием и немедленно выдает сообщения обо всех подозрительных изменениях.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов.

Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Эвристический анализ , как и метод обнаружения изменений, позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Эвристический анализ в антивирусных программах основан на сигнатурах и эвристическом алгоритме, призван улучшить способность программ-сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда код неизвестной программы совпадает с сигнатурой не полностью, но в подозрительной программе явно выражены более общие признаки вируса либо его поведенческая модель. При обнаружении подобных кодов, выдается сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Недостатком данного метода является большое количество ложных срабатываний антивирусных средств в тех случаях, когда в легальной программе присутствуют фрагменты кода, выполняющего действия и/или последовательности, свойственные некоторым вирусам.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в оперативной памяти устройства (компьютера) и отслеживают все действия, выполняемые остальными программами. В случае выполнения какой-либо программой подозрительных действий, свойственных вирусам (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытки перехвата прерываний и т.п.), резидентный сторож выдает сообщение пользователю.

Применение антивирусных программ с резидентным сторожем снижает вероятность запуска вирусов на компьютере, но следует учитывать, что постоянное использование ресурсов оперативной памяти под резидентные программы уменьшает объем памяти, доступной для других программ.

На сегодняшний день одним из самых надежных механизмов защиты информационных систем и сетей являются программно-аппаратные средства , как правило, включающие в себя не только антивирусные системы, но и обеспечивающие дополнительный сервис. Эта тема подробно рассмотрена в разделе "Программно-аппаратные средства обеспечения безопасности информационных сетей".

Арендный блок

Процесс построения корпоративной системы антивирусной защиты состоит из следующих этапов:

– проведение анализа объекта защиты и определение основных принципов обеспечения антивирусной безопасности;

– разработка политики обеспечения антивирусной безопасности;

– разработка плана обеспечения антивирусной безопасности;

– реализация плана обеспечения антивирусной безопасности.

На первом этапе необходимо выявить специфику защищаемой сети, обосновать и выбрать несколько вариантов антивирусной защиты. Этот этап содержит следующие работы:

– проведение аудита состояния компьютерной системы и средств обеспечения антивирусной безопасности;

– обследование информационной системы;

– анализ возможных сценариев реализации потенциальных угроз, связанных с проникновением вирусов.

Результатом первого этапа является оценка общего состояния антивирусной защиты.

Второй этап состоит из следующих работ:

– классификация информационных ресурсов (перечень и степень защиты различных информационных ресурсов организации);

– создание сил обеспечения антивирусной безопасности и разделение полномочий (структура и обязанности подразделения, ответственного за организацию антивирусной безопасности);

– организационно-правовая поддержка обеспечения антивирусной безопасности (перечень документов, определяющих обязанности и ответственность различных групп пользователей засоблюдение норм и правил антивирусной безопасности);

– определение требований к инструментам антивирусной безопасности (к антивирусным системам, которые будут установлены в организации);

– расчет затрат на обеспечение антивирусной безопасности.

Результатом второго этапа является политика антивируснойбезопасности предприятия.

Третий этап включает следующие работы:

– выбор программных средств, средств автоматизированной инвентаризации и мониторинга информационных ресурсов;

– разработка требований и выбор средств антивирусной защиты серверов и рабочих станций в локальной сети, удаленных серверов и удаленных пользователей, групповых приложений и электронной почты;

– разработка перечня организационных мероприятий по обеспечению антивирусной безопасности, разработка (корректировка) должностных и рабочих инструкций персонала с учетом политики антивирусной безопасности и результатов анализа рисков, а именно:

– периодический анализ и оценка ситуации по обеспечению антивирусной безопасности;

– мониторинг средств антивирусной безопасности;

– план и порядок обновления средств антивирусной безопасности;

– контроль соблюдения персоналом своих обязанностей по обеспечению антивирусной безопасности;

– план обучения определенных категорий пользователей;

– порядок действий в критических ситуациях.

Результатом третьего этапа является план обеспечения антивирусной защиты предприятия.

Четвертый этап содержит следующие работы:

– поставка;

– внедрение;

– поддержка.

В ходе выполнения последнего четвертого этапа реализуется выбранный и утвержденный план антивирусной безопасности.

В результате выполнения данных работ становится возможным построение эффективной системы корпоративной антивирусной защиты

У нас самая большая информационная база в рунете, поэтому Вы всегда можете найти походите запросы

Эта тема принадлежит разделу:

Информационная безопасность

Угроза информационной безопасности. Сетевая модель OSI. Методы обнаружения компьютерных вирусов. Несанкционированный доступ. Антивирусная защита корпоративной сети. Способы зашиты конфиденциальной информации. Система обработки информации. Проблемы безопасности IP-сетей

К данному материалу относятся разделы:

Угрозы информационной безопасности. Дать классификацию угроз информационной безопасности

Опишите основные каналы распространения вирусов и других вредоносных программ

Эталонная модель взаимосвязи открытых систем

Охарактеризовать преднамеренные и непреднамеренные (случайные) угрозы. Указать причины возникновения таких угроз

Дайте определение «антивирусная программа». Опишите основные методы обнаружения компьютерных вирусов

Технологии обмена данными - Intranet

Очевидная выгода использования интранет

Преимущества веб-сайта в интранет перед клиентскими программами архитектуры клиент-сервер

Несанкционированный доступ. Определение, описать каналы несанкционированного доступа. Описать приемы несанкционированного доступа. (Перехват паролей, компьютерные вирусы и пр.)

Приведите виды антивирусных программ. Опишите критерии качества антивирусной программы

Первичные (непосредственные) и опосредованные виды угроз на автоматизированные системы

Опишите этапы построения антивирусной защиты корпоративной сети

Обмен данными между КИС

Описать основные возможности предоставляемые сетью Интернет

Опишите способы зашиты конфиденциальной информации на рабочих местах пользователей ПК

BizTalk Server

Описать Модель ISO/OSI. Какую роль играет Модель ISO/OSI в развитии компьютерных сетей

Опишите способы зашиты конфиденциальной информации при использовании съемных накопителей информации большой емкости

Дать определение Стека протоколов TCP/IP. Чем объясняется широкое распространение стека TCP/IP

Опишите способы зашиты конфиденциальной информации в локальных вычислительных сетях

Опишите способы зашиты конфиденциальной информации при межсетевом взаимодействии

Архитектура IBM MQ Series

Опишите способы зашиты конфиденциальной информации при работе с системами управления базами данных

SAP NetWeaver

Структура и функциональность стека протоколов TCP/IP, Сравнение с моделью OSI. Уровень межсетевого взаимодействия (Internet), описать наиболее популярные протоколы уровня межсетевого взаимодействия (IP, ICMP, ARP, RIP)

Опишите способы зашиты конфиденциальной информации при взаимодействии абонентов с сетями общего пользования

.Двухзвенная клиент-серверная архитектура

Дайте определение автоматизированной системе обработки информации

Intranet - архитектура

Проблемы безопасности IP-сетей. Опишите характерные особенности сетевых атак

Атаки в IP-сетях

Проблемы безопасности IP-стей. Сетевые атаки. Посредничество в обмене не зашифрованными ключами (атака Man-in-the-Middle), Перехват сеанса, Отказ в обслуживании (Deniel of Service, DoS)

Концепция электронного правительства

Угрозы и уязвимости проводных корпоративных сетей. Опишите основные факторы которые способствуют повышению возможности несанкционированного использования информации

Дайте определение понятиям «Идентификация» и «Аутентификация». Приведите базовую схему идентификации и аутентификации

Архитектурная модель электронного правительства

Опишите структуру политики безопасности организации. Дайте определение термину «Базовая политика безопасности»

Симметричные криптосистемы

Асимметричные криптосистемы шифрования

Защита информации - это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе: просмотр; копирование и подмена данных; ввод ложных программ и сообщений в результате подключения к каналам связи; чтение остатков информации на ее носителях; прием сигналов электромагнитного излучения и волнового характера; использование специальных программ.

1. Средства опознания и разграничения доступа к информации

Одним из наиболее интенсивно разрабатываемых направлений по обеспечению безопасности информации является идентификация и определение подлинности документов на основе электронной цифровой подписи.

2. Криптографический метод защиты информации

Наиболее эффективным средством повышения безопасности является криптографическое преобразование.

3. Компьютерные вирусы

Разрушение файловой структуры;

Загорание сигнальной лампочки дисковода, когда к нему нет обращения.

Основными путями заражения компьютеров вирусами обычно служат съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти в случае загрузки компьютера с дискеты, содержащей вирус.

По тому, какой вид среды обитания имеют вирусы, их классифицируют на загрузочные, файловые, системные, сетевые и файлово - загрузочные (многофункциональные).

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, который содержит программу загрузки системного диска.

Файловые вирусы помещаются в основном в исполняемых файлах с расширением.СОМ и.ЕХЕ.

Системные вирусы внедряются в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы находятся в компьютерных сетях, а файлово-загрузочные - заражают загрузочные секторы дисков и файлы прикладных программ.

По пути заражения среды обитания вирусы разделяются на резидентные и нерезидентные.

Резидентные вирусы при заражении компьютера оставляют в ОП свою резидентную часть, которая после заражения перехватывает обращение ОС к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия, которые могут привести к выключению или перезагрузке компьютера. Нерезидентные вирусы не заражают ОП компьютера и проявляют активность ограниченное время.

Особенность построения вирусов влияет на их проявление и функционирование.

Логическая бомба является программой, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм.

Программы-мутанты, самовоспроизводясь, создают копии, явно отличающиеся от оригинала.

Вирусы-невидимки, или стелс-вирусы, перехватывают обращения ОС к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Эти вирусы при обращении к файлам применяют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

Макровирусы используют возможности макроязыков, которые встроены в офисные программы обработки данных (текстовые редакторы, электронные таблицы).

По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяют безвредные, неопасные, опасные и разрушительные вирусы.

Безвредные вирусы не оказывают патологического влияния на работу компьютера. Неопасные вирусы не разрушают файлы, однако уменьшают свободную дисковую память, выводят на экран графические эффекты. Опасные вирусы часто вызывают значительные нарушения в работе компьютера. Разрушительные вирусы могут привести к стиранию информации, полному или частичному нарушению работы прикладных программ. Важно иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, где может помещаться вирус.

4. Антивирусные программы

Широкое распространение компьютерных вирусов привело к разработке антивирусных программ, которые позволяют обнаруживать и уничтожать вирусы, «лечить» пораженные ресурсы.

Основой работы большинства антивирусных программ является принцип поиска сигнатуры вирусов. Вирусной сигнатурой называют некоторую уникальную характеристику вирусной программы, выдающую присутствие вируса в компьютерной системе.

По способу работы антивирусные программы можно разделить на фильтры, ревизоры, доктора, детекторы, вакцины и др.

Программы-фильтры - это «сторожа», которые постоянно находятся в ОП. Они являются резидентными и перехватывают все запросы к ОС на выполнение подозрительных действий, т. е. операций, которые используют вирусы для своего размножения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого диска. Среди них можно выделить попытки изменения атрибутов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, записи в загрузочные секторы диска.

Постоянное нахождение программ-«сторожей» в ОП существенно уменьшает ее объем, что является основным недостатком этих программ. К тому же программы-фильтры не способны «лечить» файлы или диски. Эту функцию выполняют другие антивирусные программы, например AVP, Norton Antivirus for Windows, Thunder Byte Professional, McAfee Virus Scan.

Программы-ревизоры являются надежным средством защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска при условии, что компьютер еще не был заражен вирусом. Впоследствии программа периодически сравнивает текущее состояние с исходным. При обнаружении несоответствий (по длине файла, дате модификации, коду циклического контроля файла) сообщение об этом появляется на экране компьютера. Среди программ-ревизоров можно выделить программу Adinf и дополнение к ней в виде Adinf cure Module.

Программа-доктор способна не только обнаруживать, но и «лечить» зараженные программы или диски. При этом она уничтожает зараженные программы тела вируса. Программы данного типа можно разделить на фаги и полифаги. Фаги - это программы, с помощью которых отыскиваются вирусы определенного вида. Полифаги предназначены для обнаружения и уничтожения большого числа разнообразных вирусов. В нашей стране наиболее часто используются такие полифаги, как MS Antivirus, Aidstest, Doctor Web. Они непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы способны обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к классу резидентных программ. Они модифицируют программы и диски так, что это не отражается на их работе. Однако вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них. В настоящий момент разработано множество антивирусных программ, получивших широкое признание и постоянно пополняющихся новыми средствами для борьбы с вирусами.

5. Безопасность данных в интерактивной среде

Интерактивные среды уязвимы с позиций безопасности данных. Примером интерактивных сред является любая из систем с коммуникационными возможностями, например электронная почта, компьютерные сети, Интернет.

С целью защиты информации от хулиганствующих элементов, неквалифицированных пользователей и преступников в системе Интернет применяется система полномочий, или управление доступом.

Задание: конспект, ответить на вопросы уч.Цв., стр.176, вопр. 3, 4 и 5.

План:

Введение……………………………………………………………………….…..3

1. Понятие антивирусных средств защиты информации…………...…5

2. Классификация антивирусных программ……………………...…….6

2.1 Сканеры………………………………………………………….…6

2.2 CRC-сканеры…………………………………………………..…..7

2.3 Блокировщики……………………………………………………..8

2.4 Иммунизаторы……………………………….………………….…9

3. Основные функции наиболее распространенных антивирусов…..10

3.1 Антивирус Dr. Web………………………………………...…10

3.2 Антивирус Касперского……………………………………...10

3.3Антивирус Antiviral Toolkit Pro………………………………12

3.4Norton AntiVirus 2000…………………………………………13

Заключение……………………………………………………………………….15

Список используемой литературы……………………………………………...16

Введение.

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

1) Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, сторожа, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость;

2) Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств);

3) Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства;

4) Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

В своей работе я буду рассматривать одну из программных средств защиты информации – антивирусные программы. Так, целью моей работы является проведение анализа антивирусных средств защиты информации. Достижение поставленной цели опосредуется решением следующих задач:

1) Изучение понятия антивирусных средств защиты информации;

2) Рассмотрение классификации антивирусных средств защиты информации;

3) Ознакомление с основными функциями наиболее популярных антивирусов.

1. Понятие антивирусных средств защиты информации.

Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).

Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

2. Классификация антивирусных программ.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integritychecker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

2.1 Сканеры.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые “маски”. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик - вирусов. Сканеры также можно разделить на две категории - “универсальные” и “специализированные”. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MSWord и MSExcel.

Сканеры также делятся на “резидентные” (мониторы, сторожа), производящие сканирование “на-лету”, и “нерезидентные”, обеспечивающие проверку системы только по запросу. Как правило, “резидентные” сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как “нерезидентный” сканер способен опознать вирус только во время своего очередного запуска. С другой стороны резидентный сканер может несколько замедлить работу компьютера в том числе и из-за возможных ложных срабатываний.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам -относительно небольшую скорость поиска вирусов. Наиболее распространены в России следующие программы: AVP - Касперского, Dr.Weber – Данилова, NortonAntivirus фирмы Semantic.

2.2 CRC -сканеры.

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту “слабость” CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Наиболее используемые в России программы подобного рода- ADINF и AVPInspector.

2.3 Блокировщики.

Антивирусные блокировщики - это резидентные программы, перехватывающие “вирусо-опасные” ситуации и сообщающие об этом пользователю. К “вирусо-опасным” относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно “выползает неизвестно откуда”. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (например, неизвестно ни об одном блокировщике для Windows95/NT - нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера (“железа”). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает “ложное срабатывание” защиты.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

2.4 Иммунизаторы.

Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.

3. Основные функции наиболее распространенных антивирусов.

3.1 Антивирус Dr. Web.

Dr. Web - старый и заслуженно популярный в России антивирус, уже несколько лет помогающий пользователям в борьбе с вирусами. Новые версии программы (DrWeb32) работают в нескольких операционных системах, защищая пользователей от более чем 17000 вирусов.

Набор функций вполне стандартный для антивируса - сканирование файлов (в том числе сжатых специальными программами и заархивированных), памяти, загрузочных секторов жестких дисков и дискет. Троянские программы, как правило, подлежат не излечению а удалению. К сожалению, почтовые форматы не проверяются, поэтому сразу после получения электронного письма нельзя узнать, нет ли во вложении вируса. Вложение придется сохранить на диск и проверять отдельно. Впрочем, поставляемый с программой резидентный монитор "Spider Guard" позволяет решить эту задачу "на лету".

Dr. Web - одна из первых программ, в которой был реализован эвристический анализ, который позволяет обнаруживать вирусы, не занесенные в антивирусную базу. Анализатор обнаруживает в программе вирусоподобные инструкции и помечает такую программу как подозрительную. Антивирусная база обновляется через Интернет одним нажатием кнопки. Бесплатная версия программы не проводит эвристического анализа и не лечит файлы.

3.2 Антивирус Касперского.

Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

3.3 Антивирус Antiviral Toolkit Pro.

Antiviral Toolkit Pro - российский продукт, заслуживший популярность за рубежом и в России, благодаря широчайшим возможностям и высокой надежности. Имеются версии программы для большинства популярных операционных систем, антивирусная база насчитывает около 34000 вирусов.

Существует несколько вариантов поставки - AVP Lite, AVP Gold, AVP Platinum. В наиболее полной версии поставляется три продукта - сканер, резидентный монитор и центр управления. Сканер позволяет проверять файлы и память на наличие вирусов и "троянцев". При этом проверяются упакованные программы, архивы, почтовые базы данных (папки Outlook и т.д.) и осуществляется эвристический анализ для поиска новых вирусов, не занесенных в базу данных. Монитор "на лету" проверяет каждый открываемый файл на вирусы и предупреждает о вирусной опасности, одновременно блокируя доступ к зараженному файлу. Центр управления позволяет по расписанию проводить антивирусную проверку и обновлять базы данных через Интернет. В демонстрационной версии отсутствует возможность лечения зараженных объектов, проверка пакованных и архивных файлов, эвристический анализ.

3.4 Norton AntiVirus 2000.

Norton AntiVirus сделана на основе другого популярного продукта - персонального брандмауэра AtGuard (@guard) от WRQ Soft. В результате приложения к нему технологической мощи Symantec, получился интегрированный продукт, обладающий существенно расширенной функциональностью. Ядром системы по-прежнему является брандмауэр. Он весьма эффективно работает без настройки, практически не мешая в повседневном использовании сети, но блокируя попытки перезагрузить или "завесить" компьютер, получить доступ к файлам и принтерам, установить связь с троянскими программами на компьютере.

Norton AntiVirus - единственный брандмауэр из рассмотренных, который реализует возможности этого метода (которого) защиты на 100%. Осуществляется фильтрация всех видов пакетов, путешествующих по сети, в т.ч. служебных (ICMP), правила для работы брандмауэра могут учитывать, какое именно приложение работает с сетью, что за данные передаются и на какой компьютер, в какое время суток это происходит.

Для сохранения конфиденциальных данных, брандмауэр может блокировать отправку веб-серверам адреса электронной почты, типа браузера, возможна также блокировка cookies. Фильтр конфиденциальной информации предупреждает о попытке переслать в сеть в незашифрованном виде информацию, которую пользователь ввел и пометил, как конфиденциальную.

Активное содержимое веб-страниц (Java-апплеты, сценарии и т.д) также может блокироваться с помощью Norton AntiVirus - фильтр содержимого может вырезать небезопасные элементы из текста веб-страниц до того, как они попадут в браузер.

В качестве дополнительного сервиса, не связанного напрямую с вопросами безопасности, Norton AntiVirus предлагает очень удобный фильтр рекламных баннеров (эти надоедливые картинки попросту вырезаются из страницы, что ускоряет ее загрузку), а также систему родительского контроля. Запретив посещение определенных категорий сайтов и запуск отдельных видов интернет-приложений, можно быть достаточно спокойным по поводу содержимого сети, которое доступно детям.

Помимо возможностей брандмауэра, Norton AntiVirus предлагает пользователю защиту программы Norton Antivirus. Это популярное антивирусное приложение с регулярно обновляемыми антивирусными базами позволяет довольно надежно обнаруживать вирусы на самых ранних этапах их появления. Сканированию на вирусы подвергаются все закачиваемые из сети файлы, файлы, вложенные в электронную почту, активные элементы веб-страниц. Помимо этого, в Norton Antivirus есть антивирусный сканер и монитор, которые обеспечивают общесистемную защиту от вирусов без привязки к наличию доступа в сеть.

Заключение:

Знакомясь с литературой, я достиг поставленной перед собой цели и сделал следующие выводы:

1) Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации);

2) не существует антивирусов, гарантирующих стопроцентную защиту от вирусов;

3) Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integritychecker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Список используемой литературы:

1) Проскурин В.Г. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах. –Москва: Радио и связь, 2000;

2) http://ru.wikipedia.org/wiki/Антивирусная_программа;

3) www.kasperski.ru;

4) http://www.symantec.com/sabu/nis;