В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 53
Текст из файла (страница 53)
При работе с полученными документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (МБ %0К0, МЯ ЕХСЕЕ), до завершения полной проверки этих файлов. Правило аяглое — проверка на специально выделенных ЭВМ новых сменных носителей информации и вводимых в систему файлов, особенно при работе в распределенных системах или системах коллективного пользования. Целесообразно для этого использовать автоматизированное рабочее место администратора системы или лица, отвечающего за безопасность информации.
Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы. Правило шестое — блокирование выполнения этой операции, если не предполагается осуществление записи информации на носитель, На магнитных дискетах 3,5 дюйма для этого достаточно открыть квадратное отверстие. Постоянное следование всем приведенным рекомендациям позволяет значительно уменьшить вероятнооть заражения программными вирусами и защищает пользователя от безвозвратных потерь информации.
В особо ответственных системах лля борьбы с вирусами необходимо использовать аппаратно-программные средства (например, ЯНЕК1ГР). 236 Когда вирус все же попал в КС, то последствия его пребывания можно свести к минимуму, придерживаясь определенной последовательности действий. Прежде всего необходимо определить наличие вируса. Об этом можно судить по следующим признакам: ° появлсние сообщений антивирусных средств о заражении или предполагаемом заражении; ~ явные проявления присутствия вируса, такие как сообщения, выдаваемые на монитор или принтер, звуковые эффекты, уничтожение файлов и другие аналогичные действия, однозначно указывающие на наличие вируса в КС; * неявные проявления заражения, которые могут быть вызваны и другими причинами, например сбоями или отказами аппаратных и программных средств КС.
К неявным проявлениям наличия вирусов в КС можно отнести «завнсания» системы, замедление выполнения определенных действий, нарушение адресации, сбои устройств и т.д. Получив информацию о предполагаемом заражении, пользователь должен убедиться в этом. Решить такую задачу можно с помощью всего комплекса антивирусных средств. Убедившись в том, что заражение произошло, пользователю следует выполнить следующую технологическую последовательность действий: 1) выключить ЭВМ для уничтожения резидентных вирусов; 2) осуществить загрузку эталонной операционной системы со сменного носителя информации, в которой отсутствуют вирусы; 3) сохранить на сменных носителях информации важные файлы, которые не имеют резервных копий; 4) использовать антивирусные средства для удаления вирусов и восстановления файлов, областей памяти.
Произвести контроль работоспособности ВС; 5) если работоспособность ЭВМ не восстановлена„то необходимо осуществить полное стирание и разметку (форматирование) несъемных внешних запоминающих устройств. В ПЭВМ лля этого могут быть использованы программы МЯ РОЯ ГР1ВК и РОКМАТ. Программа форматирования РОВМАТ не удаляет главную загрузочную запись на жестком диске, в которой может находиться загрузочный вирус.
Поэтому необходимо выполнить программу РР1ЯК с недокументированным параметром МВВ, создать с помощью этой же программы разделы и логические диски на жестком диске. Затем выполняется программа ГОКМАТ для всех логических дисков; 6) восстановить ОС, другие программные системы и файлы с дистрибутивов и резервных копий, созданных до заражения; 7) тщательно проверить файлы, сохраненные после обнаружения заражения, и, при необходимости, удалить вирусы и восстановить файлы; 237 8) завершить восстановление информации всесторонней проверкой ЭВМ с помощью всех имеющихся в распоряжении пользователя антивирусных средств. При выполнении рекомендаций по профилактике заражения компьютерными вирусами, а также при умелых и своевременных действиях в случае заражения вирусами ущерб информационным ресурсам КС может быть сведен к минимуму.
5.3.5. Контроль целостности и системные вопросы защиты программ и данных На этапе эксплуатации КС целостность и доступность информации в системе обеспечивается: ° контролем целостности информации в КС; ° повышением отказоустойчивости КС; ° противодействием перегрузкам и «зависаниям» системы; ° дублированием информации; ° использованием строго определенного множества программ; ° особой регламентацией процессов технического обслуживания и проведения доработок; ° выполнением комплекса антивирусных мероприятий. Целостность и доступность информации поддерживается также путем резервирования аппаратных средств, блокировок ошибочных действий людей, использования надежных элементов КС и отказоустойчивых систем. Устраняются также преднамеренные угрозы перегрузки элементов систем. Для этого используются механизмы измерения интенсивности поступления заявок на выполнение (передачу) и механизмы ограничения или полного блокирования передачи таких заявок.
Должна быть предусмотрена также возможность определения причин резкого увеличения потока заявок на выполнение программ или передачу информации. В сложных системах практически невозможно избежать ситуаций, приводящих к «зависаниям» систем или их фрагментов. В результате сбоев аппаратных или программных средств, алгоритмических ошибок, допущенных на этапе разработки, ошибок операторов в системе происходят зацикливания программ, непредусмотренные остановы и другие ситуации, выход из которых возможен лишь путем прерывания вычислительного процесса и последующего его восстановления.
На этапе эксплуатации ведется статистика и осуществляется анализ таких ситуаций. «Зависания» своевременно обнаруживаются, и вычислительный процесс восстанавливается. При восстановлении, как правило, необходимо повторить выполнение прерванной программы с начала или с контрольной точки, если используется механизм контрольных точек.
Такой механизм используется при выполнении сложных вычислительных программ, требующих значительного времени для их реализации. 238 Одним из главных условий обеспечения целостности и доступности информации в КС является ее дублирование. Стратегия дублирования выбирается с учетом важности информации, требований к непрерывности работы КС, трудоемкости восстановления данных. Дублирование информации обеспечивается дежурным администратором КС.
В за1цищенной КС должно использоваться только разрешенное программное обеспечение (ПО). Перечень официально разрешенных к использованию программ, а также периодичность и способы контроля их целостности должны быть определены перед началом эксплуатации КС. Простейшим методом контроля целостности программ является метод контрольных сумм.
Для исключения возможности внесения изменений в контролируемый файл с последующей коррекцией контрольной суммы необходимо хранить контрольную сумму в зашифрованном виде или использовать секретный алгоритм вычисления контрольной суммы. Однако наиболее приемлемым методом контроля целостности информации является использование хэш-функции. Значение хэшфункции практически невозможно подделать без знания ключа, поэтому следует хранить в зашифрованном виде или в памяти, недоступной злоумышленнику, только ключ хэширования (стартовый вектор хэширования). Контроль состава программного обеспечения и целостности (неизменности) программ осуществляешься при плановых проверках комиссиями и должностными лицами, а также дежурным оператором КСЗИ по определенному плану, неизвестному пользователям.
Для осуществления контроля используются специальные программные средства. В вычислительных сетях такая ревизия программного обеспечения может осуществляться дистанционно с рабочего места оператора КСЗИ. Особое внимание руководства и должностных лиц подразделения ОБИ должно быть сосредоточено на обеспечении целостности структур КС и конфиденциальности информации, защите от хищения и несанкционированного копирования информационных ресурсов во время проведения технического обслуживания, восстановления работоспособности, ликвидации аварий, а также в период модернизации КС. Так как на время проведения таких специальных работ отключаются (или находятся в неработоспособном состоянии) многие технические и программные средства защиты, то их отсутствие компенсируется системой следующих организационных мероприятий: е подготовка КС к выполнению работ; ° допуск специалистов к выполнению работ; ° организация работ на объекте; ° завершение работ.
239 Перед проведением работ, по возможности, должны предприниматься следующие шаги: ° отключение фрагмента КС, на котором необходимо выполнять работы, от функционируюшсй КС; ° снятие носителя информации с устройств; ° осушествление стирания информации в памяти КС; ° подготовка помещения для работы специалистов. Перед проведением специальных работ необходимо всеми доступными способами изолировать от функционирующей части КС ту часть КС, на которой предполагается выполнять работы. Для этого могут быть использованы аппаратные и программные блокировки и физические отключения цепей. Все съемные носители с конфиденциальной информацией должны быть сняты с устройств и храниться в заземленных металлических шкафах в специальном помещении.
Информация на несъемных носителях стирается путем трехкратной записи, например, двоичной последовательности чередующихся 1 и О. На объекте необходимо определить порядок действий в случае невозможности стереть информацию до проведения специальных работ, например при отказе накопителя на магнитных дисках. В этом случае восстановление работоспособности должно выполняться под непосредственным контролем должностного лица из подразделения ОБИ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
