DIPLOM (716574), страница 10
Текст из файла (страница 10)
имитация сбоев аппаратных средств;
создание звуковых и визуальных эффектов, таких, например, как отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;
инициирование ошибок в программах пользователей или операционной системы.
Наиболее распространенным средством нейтрализации вирусов является использование программных антивирусов. Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры и мониторы.
Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур — устойчивой последовательности байтов имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует об его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
Фаги выполняют функции, свойственные детекторам, но, кроме того, “излечивают” инфицированные программы посредством “выкусываеия” (“пожирания”) вирусов из их тел. По аналогии с полидетекторами, фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.
В отличие от детекторов и фагов, вакцины, по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе. В последней, в свою очередь сначала управление получит вакцина, которая выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.п..
Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком, с тем чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное заражение, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением программы. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком что и вирус, который, таким образом, после активизации и проверки наличия укказанного признака, считает ее инфицированной и “оставляет в покое”.
Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Если при этом обнаружится, что согласно имеющейся системной информации файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным. Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует его повторного запуска.
Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполение пользовательской программы.
Антивирусы рассмотренных типов значительно повышают вирусозащищенность отдельных ПЭВМ и ЛВС в целом, однако, в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов. Вакцины обладают потенциальной способностью защиты программ не только от известных, но и от новых вирусов, однако, обнаруживают факт заражения только в тех случаях, когда сами были имплантированы в защищаемую программу раньше вируса. Результативность применения ревизоров зависит от частоты их запуска, которая не может быть больше одного — двух раз в день в связи со значительными затратами времени на просмотр файлоф (порядка 0,5 — 1 ч применительно к жесткому диску емкостью 80 Мбайт). Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако, характеризуются чрезмерной интенсивностью ложных срабатываний, которые вырабатывают у оператора “рефлекс подтверждения” и тем самым, по существу, минимизируют эффект от такого контроля. Следует, также, учитывать, что принципы действия и тексты любых антивирусов доступны разработчикам ПВ, что позволяет им создавть более изощренные вирусы, способные успешно обходить все известные способы защиты.
В связи с изложенным, очевидно, что наряду с созданием антивирусов необходима реализация альтернативных подходов к нейтрализации ПВ: создание операционных систем, обладающих более высокой вирусозащищенностью, разработка аппаратных средств защиты от вирусов и т.п..
Не меньшее значение имеют организационные меры и соблюдение определенной технологии защиты от вирусов, предполагающей выполнение следующих этапов: входной контроль дискет с новым программным обеспечением, сегментацию информации на жестком диске, защиту системых программ от заражения, систематический контроль целостности и архивирование информации.
2.7.3. Защита операционных систем и обеспечение безопасности баз данных в ЛВС
Как отмечалось в предыдущем параграфе, одним из эффективных направлений противодействия вирусам является повышение вирусозащищенности операционных систем. Это один из путей решения общей проблемы, обычно называемой защитой ОС. Существует несколько аспектов этой проблемы, имеющих значение как для операционных систем автономно функционирующих ЭВМ, так и для сетевых ОС: предотвращение возможности несанкционированного использования и искажения (разрущения) системных ресурсов (областей памяти, программ и данных самой ОС) пользовательскими (прикладными) программами (в частности, вирусами); обеспечение корректности выполнения пользовательских программ, параллельно функционирующих на одной ЭВМ и использующих общие ресурсы; исключение возможности несанкционированного использования прикладными программами одних пользователей, ресурсов, принадлежащих другим и т.п.. Строго говоря, в сетевой ОС и аппаратных средствах ЛВС должны быть так или иначе реализованы механизмы безопасности. В этом случае можно считать, что операционная система обеспечивает защиту ресурсов ЛВС, одним из которых является сама ОС, т.е. входящие в нее программы и используемая ею системная информация.
В рамках указанной программы принято различать пассивные объекты защиты (файлы, прикладные программы, терминалы, области оперативной памяти и т.п.) и активные субъекты (процессы), которые могут выполнять над объектами определенные операции. Защита объектов реализуется операционной системой посредством контроля за выполнением субъектами совокупности правил, регламентирующих указанные операции. Указанную совокупность иногда называют статусом защиты.
Субъекты в ходе своего функционирования генерируют запросы на выполнение операций над защищенными объектами. В работах, посвященных вопросам защиты ОС, принято называть операции, которые могут выполнять над защищенными объектами, правами (атрибутами) доступа, а права доступа субъекта по отношению к конкретному объекту — возможностями. Например, правом доступа может быть “запись в файл”, а возможностью — “запись в файл F” (F — имя конкретного файла, т.е. объекта).
В качестве формальной модели статуса защиты в ОС чаще всего используется так называемая матрица доступа (в некоторых работах она именуется матрицей контроля доступа, что впрочем, не приводит к двусмысленности). Эта матрица содержит m строк (по числу субъектов) и n столбцов (по числу объектов), причем элемент, находящийся на пересечении i-й строки и j-го столбца, представляет собой множество возможностей i-го субъекта по отношению к j-му объекту. С учетеом того обстоятельства, что числа m и n на практике весьма велики, а число непустых элементов матрицы доступа мало, в реализациях ОС применяют различные способы сокращения объема памяти, занимаемой этой матрицей, без существенного увеличения времени, затрачиваемого операционной системой на работу с ней.
Еще одним, достаточно простым в реализации средствомразграничения доступа к защищаемым объектам является механизм колец безопасности. Кольцо безопасности характеризуется своим уникальным номером, причем нумерация идет “изнутри — наружу”, и внутренние кольца являются привилегированными по отношению к внешним. При этом субъекту (домену), оперирующему в пределах кольца с номером i, доступны все объекты с номерами от i до j включительно.
Доступ к ресурсам ОС ограничен средствами защиты по паролям. Пароль может быть использован в качестве ключа для шифрования-дешифрования информации в пользовательских файлах. Сами пароли также хранятся в зашифрованном виде, что затрудняет их выявление и использование злоумышленниками. Пароль может быть изменен пользователем, администратором системы либо самой системой по истечении установленного интервала времени.
2.7.6. Практические рекомендации по обеспечению безопасности информации в коммерческих каналах телекоммуникаций
При организации практической деятельности по обеспечению безопасности возникает сложная для пользователя задача выбора адекватных конкретным обстоятельствам соответствующих технических средств. Поэтому, приступая к решению этой сложной задачи, необходимо максимально использовать конкретные условия эксплуатации аппаратуры и возможные стретегии противоборствующей стороны. В частности, анализ публикованных в последнее время материалов позволяет выделить следующие основные направления воздействий.
1.Модификация программного обеспечения, обычно, путем незаметного добавления новых функций.
2.Получение несанкционированного доступа, т.е. нарушение секретности или конфиденциальности информации.
3.Выдача себя за другого пользователя, с тем чтобы снять с себя ответственность или же использовать его полномочия.
4.Отказ от факта получения информации, которая на самом деле была получена, или ложные сведения о времени ее получения.
5.Отказ от факта формирования информации.
6.Утверждение о том, что получателю в определенный момент времени была послана информация, которая на самом деле не посылалась.
7.Утверждение о том, что информация была получена от некоторого пользователя, хотя на самом деле она сформирована самим же нарушителем.
8.Несанкционированное расширение своих законных полномочий.
9.Несанкционированное изменений других пользователей (ложная запись других лиц, ограничение или расширение существующих полномочий).
10.Подключение к линии связи между другими пользователями в качестве активного ретранслятора.
11.Сокрытие факта наличия некоторой информации (скрытая передача) в другой информации (открытая передача).
12.Изучение того, кто, когда и к какой информации получает доступ.
13.Заявление о сомнительности протокола обеспечения безопасности связи из-за раскрытия некоторой информации, которая, согласно условиям протокола, должна оставаться секретной.
14.Принудительное нарушение протокола с помощью введения ложной информации.
15.Подрыв доверия к протоколу путем введения ложной информации.
Современная технология обеспечения безопасности связи рекомендует всю работу по защите информации с учетом перечисленных стратегий проводить по следующим основным направлениям:
совершенствование организационных и огранизационно-технических мероприятий;
блокирование несанкционированного доступа к обрабатываемой и передаваемой информации;
блокирование несанкционированного получения информации с помощью технических средств.
В настоящее время успешно развиваются не только методы и средства закрытия информации, но и производится активная работа противоположного направления, направленная на несанкционированный доступ и перехват ценной коммерческой информации. Поэтому пользователей технических средств обеспечения безопасности связи в первую очередь интересуют практические рекомендации по мерам защиты информации и противодействию несанкционированному доступу.
Под организационными мерами защиты понимаются меры общего характера, ограничивающие доступ к ценной информации посторонним лицам, вне зависимости от особенностей метода передачи информации и каналов утечки.
Вся работа по обеспечению безопасности связи в каналах телекоммуникации должна начинаться с организационных мер защиты.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
