Il software antivirus è ampiamente utilizzato per combattere i virus. programmi antivirus. Considera le classi principali programmi antivirus.

• Verifica dell'integrità del software.

Questa classe permette di calcolare il checksum (chiamato firma) di ogni programma utente. Prima di eseguire il programma valore progettuale Il checksum viene confrontato con quello registrato per le copie protette del programma. Tali programmi non possono prevenire l'infezione, ma forniscono all'utente informazioni preziose sui programmi infetti o modificati.

• Programmi di controllo.

I programmi di questa classe utilizzano la modalità di interruzione del computer. Se, secondo l'autore del programma antivirus, i programmi notano qualcosa di sospetto, interrompono il funzionamento del computer ed emettono una raccomandazione all'operatore su ulteriori azioni.

• Programmi di rimozione dei virus.

Questi programmi controllano disco magnetico solo virus conosciuti. Quando trovano un virus, lo segnalano all'operatore o lo rimuovono.

• Copie.

La copia dei programmi è un metodo di protezione, ma non garantisce l'assenza di virus.

• Esistere programmi antivirus misti, combinando le proprietà dei programmi delle classi sopra elencate.

Finora non è stato trovato alcun metodo che dia una piena garanzia di protezione contro il virus. Tra i metodi promettenti in fase di sviluppo ci sono i seguenti:

• metodi adattivi e di autoapprendimento;
• metodi intelligenti;
• metodi hardware.

Strumenti adattivi e di autoapprendimento- questi sono strumenti che espandono automaticamente l'elenco dei virus a cui resistono. Questi includono strumenti che contengono database di virus costantemente aggiornati.

Metodi intelligenti– metodi basati su sistemi di inferenza. La loro essenza si riduce a determinare l'algoritmo implementato dal programma in base al suo codice e quindi identificare i programmi che eseguono azioni non autorizzate. Questo è un metodo promettente, ma richiede costi enormi.

Hardware- Si tratta di un ulteriore rafforzamento del sistema di protezione. Applicato applicazioni speciali, non hanno ancora ricevuto un'ampia distribuzione, tk. il loro utilizzo limita le capacità del sistema.

Approccio sistematico alla sicurezza

Costruzione e supporto sistema sicuro richiede un approccio sistematico. In accordo con questo approccio, è necessario realizzare l'intero spettro possibili minacce per rete specifica e per ciascuna di queste minacce riflettere sulla tattica della sua riflessione. In questa lotta è necessario utilizzare vari mezzi e tecniche: capacità morali ed etiche, legislative, amministrative, psicologiche, protettive del software e dell'hardware della rete.

Ai mezzi di protezione morali ed etici può essere attribuito a tutti i tipi di norme che si sono sviluppate con la diffusione degli strumenti informatici.

Legislativo mezzi di protezione sono leggi, decreti governativi, decreti presidenziali. Regolamenti e norme che regolano le regole per l'uso e il trattamento delle informazioni accesso limitato, nonché sanzioni per le violazioni di tali regole.

Misure amministrative- si tratta di azioni intraprese dalla direzione di un'impresa o di un'organizzazione per garantire la sicurezza dell'organizzazione ( descrizione del lavoro definire rigorosamente la procedura per lavorare con le informazioni riservate su un computer, le regole per acquisire strumenti di sicurezza da parte di un'impresa, ecc.).

Misure psicologiche la sicurezza può svolgere un ruolo significativo nel rafforzare la sicurezza del sistema. Trascurare di prendere in considerazione gli aspetti psicologici nelle procedure informali relative alla sicurezza può portare a violazioni della sicurezza.

A fisico i dispositivi di protezione comprendono stanze di schermatura per la protezione dalle radiazioni, il controllo delle apparecchiature fornite per la conformità alle sue specifiche e l'assenza di "bug" hardware, mezzi di sorveglianza esterna, blocco dei dispositivi accesso fisico ai singoli blocchi di computer, serrature varie e altre apparecchiature che proteggono i locali in cui si trovano i supporti di memorizzazione dall'ingresso illegale.

Tecnico gli strumenti di sicurezza delle informazioni sono implementati da software e hardware di reti di computer. Tali fondi sono chiamati servizi di sicurezza della rete. La gamma di attività di protezione che risolvono è varia (controllo degli accessi, auditing, crittografia delle informazioni, protezione antivirus, controllo traffico di rete eccetera.). Gli strumenti di sicurezza tecnica possono essere integrati nel software (sistema operativo, applicazioni) o nell'hardware (computer e apparecchiature di comunicazione) fornendo la rete, o implementato nella forma singoli prodotti creato appositamente per risolvere i problemi di sicurezza.

Politica di sicurezza

Politica di sicurezza delle informazioni determina quali informazioni devono essere protette e da chi, quali danni possono derivare da una minaccia implementata con successo, cosa significa proteggere. Quando si sviluppa una politica di sicurezza, i responsabili della sicurezza del sistema devono tenerne conto principi di base:

• Fornire a ciascun dipendente dell'impresa livello minimo privilegi accedere ai dati di cui ha bisogno per svolgere le sue mansioni lavorative.
• Utilizzo approccio integrato alla sicurezza. Ciò implica l'uso di una varietà di strumenti di sicurezza, dai divieti organizzativi e amministrativi alle apparecchiature di rete integrate.
• Utilizzando un sistema di sicurezza multilivello, è importante garantire equilibrio di affidabilità della protezione di tutti i livelli.
• L'uso di strutture che, in caso di fallimento, diventano uno stato massima protezione . Questo vale per un'ampia varietà di dispositivi di sicurezza.
• Il principio di un unico checkpoint - tutto in entrata alla rete interna e in uscita rete esterna il traffico deve passare attraverso un singolo nodo di rete, ad esempio attraverso firewall. Solo questo ti permette di controllare a sufficienza il traffico.
• Il principio del bilanciamento del possibile danno derivante dalla realizzazione di una minaccia e dei costi della sua prevenzione. Nessun sistema di sicurezza garantisce la protezione dei dati al 100%. è il risultato di un compromesso tra possibili rischi ed eventuali costi.

Quando si definisce una politica di sicurezza per una rete che ha accesso a Internet, si consiglia di dividere l'attività in 2 parti: sviluppare una politica per l'accesso a servizi di rete Internet e sviluppare una politica di accesso alle risorse rete interna aziende.

Politica di accesso ai servizi Internet:

• Definisce un elenco di servizi Internet a cui gli utenti della rete interna devono avere accesso limitato.
• Definire le restrizioni sui metodi di accesso, come l'uso dei protocolli SLIP e PPP.
• Decidere se l'accesso è consentito utenti esterni da Internet alla rete interna.

La politica di accesso alle risorse della rete interna dell'azienda può esprimersi in uno di due principi:

• Negare tutto ciò che non è esplicitamente consentito;
• Consenti tutto ciò che non è esplicitamente vietato.

Protezione delle informazioni - questo è l'uso di vari mezzi e metodi, l'uso di misure e l'attuazione di misure al fine di garantire l'affidabilità del sistema delle informazioni trasmesse, archiviate ed elaborate.

Il problema della sicurezza delle informazioni nei sistemi di elaborazione elettronica dei dati è sorto quasi contemporaneamente alla loro creazione. È stato causato da fatti specifici di azioni dannose con informazioni.

Se nei primi decenni di utilizzo attivo dei PC, il pericolo principale era rappresentato dagli hacker che si collegavano ai computer principalmente tramite rete telefonica, quindi nell'ultimo decennio, la violazione dell'affidabilità delle informazioni è progredita attraverso programmi, virus informatici, rete globale Internet.

Ce ne sono abbastanza modalità di accesso non autorizzato alle informazioni, tra cui: visualizzazione; copia e sostituzione dei dati; ingresso falsi programmi e messaggi a seguito della connessione ai canali di comunicazione; leggere i resti di informazioni sui suoi media; ricezione del segnale radiazioni elettromagnetiche e carattere ondulatorio; utilizzo programmi speciali.

1. Mezzi di identificazione e differenziazione dell'accesso alle informazioni

Una delle aree più sviluppate per garantire la sicurezza delle informazioni è l'identificazione e l'autenticazione dei documenti basata sulla firma digitale elettronica.

2. Metodo crittografico di protezione delle informazioni

Maggior parte strumento efficace aumentare la sicurezza è la conversione crittografica.

3. Virus informatici

Distruzione della struttura del file;

Accendere la spia di guida quando non è in corso l'accesso.

I modi principali in cui i virus infettano i computer sono solitamente unità rimovibili(floppy e CD-ROM) e reti di computer. Infezione disco rigido computer può verificarsi se il computer viene avviato da un floppy disk contenente un virus.

In base al tipo di habitat, i virus sono classificati in boot, file, system, network e file-boot (multifunzionale).

Virus di avvio sono incorporati nel settore di avvio del disco o nel settore che contiene il programma di avvio del disco di sistema.

Virus di file vengono inseriti principalmente in file eseguibili con estensione .COM e .EXE.

Virus di sistema integrato nei moduli di sistema e nei driver dei dispositivi periferici, nelle tabelle di allocazione dei file e nelle tabelle delle partizioni.

Virus di rete sono in reti di computer, e file di avvio - infettare i file e i settori di avvio del disco programmi applicativi.

I virus sono divisi in virus residenti e non residenti lungo il percorso di infezione dell'habitat.

Virus residenti quando infettano un computer, lasciano la loro parte residente nel sistema operativo, che, dopo l'infezione, intercetta le chiamate del sistema operativo ad altri oggetti di infezione, si infiltra in essi ed esegue le sue azioni distruttive, che possono portare all'arresto o al riavvio del computer. Virus non residenti non infettano il sistema operativo del computer e sono attivi per un tempo limitato.

La particolarità della costruzione dei virus influisce sulla loro manifestazione e funzionamento.

bomba logicaè un programma che è incorporato in un grande pacchetto software. È innocuo fino a quando non si verifica un determinato evento, dopo di che viene implementato il suo meccanismo logico.

programmi mutanti, auto-riproducendo, creare copie chiaramente diverse dall'originale.

virus invisibili, o virus stealth, intercetta le chiamate del sistema operativo ai file e ai settori del disco interessati e sostituisci gli oggetti non infetti al loro posto. Quando accedono ai file, questi virus utilizzano algoritmi piuttosto originali che consentono loro di "ingannare" i monitor antivirus residenti.

Macrovirus utilizzare le funzionalità del linguaggio macro integrate programmi d'ufficio elaborazione dati ( editor di testo, fogli di calcolo).

Per il grado di impatto sulle risorse dei sistemi informatici e delle reti, o per capacità distruttive, si distinguono virus innocui, non pericolosi, pericolosi e distruttivi.

Virus innocui non hanno un effetto patologico sul funzionamento del computer. Virus non pericolosi non distruggere i file, ma ridurre lo spazio libero memoria su disco, Schermo effetti grafici. Virus pericolosi spesso causano interruzioni significative al computer. Virus distruttivi può comportare la cancellazione di informazioni, l'interruzione totale o parziale dei programmi applicativi. È importante tenere a mente che qualsiasi file in grado di caricare ed eseguire codice di programma è un potenziale luogo in cui inserire un virus.

4. Programmi antivirus

Ampio utilizzo virus informatici ha portato allo sviluppo di programmi antivirus che consentono di rilevare e distruggere virus, "curare" le risorse interessate.

La base della maggior parte dei programmi antivirus è il principio della ricerca delle firme dei virus. Firma del virus nominare alcune caratteristiche univoche di un programma antivirus che indicano la presenza di un virus in un sistema informatico.

A seconda del modo in cui funzionano, i programmi antivirus possono essere suddivisi in filtri, auditor, medici, rilevatori, vaccini, ecc.

Filtra programmi - questi sono i "sentinelle" che sono costantemente nel PO. Sono residenti e intercettano tutte le richieste al Sistema Operativo di compiere azioni sospette, ovvero operazioni che utilizzano virus per riprodurre e danneggiare informazioni e risorse software nel computer, anche per la riformattazione del disco rigido. Tra questi ci sono i tentativi di modificare gli attributi dei file, correggere i file COM o EXE eseguibili, scrivere sui settori di avvio del disco.

La presenza costante di programmi "watchdog" nell'OP ne riduce notevolmente il volume, che è il principale svantaggio di questi programmi. Inoltre, i programmi di filtro non sono in grado di "trattare" file o dischi. Questa funzione viene eseguita da altri programmi antivirus, come AVP, Norton Antivirus per Windows, Thunder Byte Professional, McAfee Virus Scan.

Programmi per i revisori dei conti sono un mezzo affidabile di protezione contro i virus. Loro ricordano lo stato iniziale programmi, directory e aree di sistema disco, a condizione che il computer non sia stato ancora infettato da un virus. Successivamente, il programma confronta periodicamente Stato attuale con l'originale. Se vengono rilevate incongruenze (per lunghezza del file, data di modifica, codice di controllo del ciclo del file), sullo schermo del computer viene visualizzato un messaggio al riguardo. Tra i programmi per auditor, si può individuare il programma Adinf e la sua aggiunta sotto forma di Modulo di cura Adinf.

Programma medicoè in grado non solo di rilevare, ma anche di "curare" programmi o dischi infetti. In tal modo, distrugge i programmi infetti del corpo del virus. Programmi di questo tipo possono essere suddivisi in fagi e polifagi. fagi - Questi sono programmi che vengono utilizzati per trovare virus di un certo tipo. Polifagi progettato per rilevare e distruggere un largo numero vari virus. Nel nostro paese, polifagi come MS Antivirus, Aidstest, Dottor Web. Sono continuamente aggiornati per far fronte ai nuovi virus emergenti.

Programmi-rivelatori in grado di rilevare i file infettati da uno o più sviluppatori famosi programmi antivirus.

programmi di vaccinazione, o immunizzanti, appartengono alla classe dei programmi residenti. Modificano programmi e dischi in un modo che non ne pregiudica il funzionamento. Tuttavia, il virus contro il quale viene vaccinato li considera già infetti e non li infetta. A questo momento sono stati sviluppati molti programmi antivirus che hanno ricevuto ampi riconoscimenti e sono costantemente aggiornati con nuovi strumenti per combattere i virus.

5. Sicurezza dei dati in un ambiente interattivo

Gli ambienti interattivi sono vulnerabili in termini di sicurezza dei dati. Un esempio ambienti interattiviè uno qualsiasi dei sistemi con capacità di comunicazione ad esempio e-mail, reti di computer, Internet.

Al fine di proteggere le informazioni da elementi teppisti, utenti non qualificati e criminali, il sistema Internet utilizza un sistema di diritti o controllo degli accessi.

Compito: abstract, rispondere alle domande dello studente Tsv., p. 176, domanda. 3, 4 e 5.

Strumenti per la sicurezza delle informazioni

test

1. Protezione delle informazioni da accessi non autorizzati. Strumenti antivirus informazioni di sicurezza

Il compito di proteggere le informazioni archiviate in sistemi informatici, da accesso non autorizzato (UAS), è molto rilevante. Per risolvere questo problema, viene utilizzata un'intera gamma di strumenti, inclusi tecnici, software e hardware e misure amministrative protezione delle informazioni.

L'accesso non autorizzato (UAS) alle informazioni è chiamato familiarizzazione, elaborazione, copia non programmata, uso di vari virus, compresi quelli che distruggono prodotti software, nonché modifica o distruzione di informazioni in violazione delle regole stabilite di controllo degli accessi.

Un sistema di sicurezza delle informazioni è un insieme organizzato di leggi speciali e altri regolamenti, organi, servizi, metodi, misure e mezzi che garantiscono la sicurezza delle informazioni da minacce interne ed esterne.

Nella protezione delle informazioni dall'accesso non autorizzato si possono distinguere tre aree principali:

Il primo è incentrato sull'impedire all'intruso di accedere all'ambiente informatico e si basa su speciali mezzi tecnici identificazione dell'utente;

Il secondo è relativo alla protezione dell'ambiente informatico e si basa sulla realizzazione di appositi software per la protezione delle informazioni;

La terza direzione è relativa all'uso mezzi speciali protezione delle informazioni da accessi non autorizzati

Mezzi per proteggere le informazioni dall'accesso non autorizzato: uno strumento tecnico, crittografico, software e altro progettato per proteggere le informazioni, lo strumento in cui sono implementate, nonché un mezzo per monitorare l'efficacia della protezione delle informazioni.

Gli strumenti per la sicurezza delle informazioni si dividono in:

1. Fisico - vari mezzi e strutture ingegneristiche che impediscano o escludano la penetrazione fisica (o l'accesso) dei trasgressori agli oggetti di protezione e ai trasportatori di materiali informazioni confidenziali:

2. Hardware: dispositivi meccanici, elettrici, elettronici e di altro tipo progettati per proteggere le informazioni da perdite, divulgazione, modifica, distruzione, nonché per contrastare i mezzi di intelligence tecnica:

3. Software: programmi informatici speciali che implementano le funzioni di protezione delle informazioni da accesso non autorizzato, familiarizzazione, copia, modifica, distruzione e blocco.

4. Crittografico: mezzi tecnici e software di crittografia dei dati basati sull'uso di una varietà di metodi matematici e algoritmici.

5. Combinato - l'implementazione combinata di hardware e software e metodi crittografici protezione delle informazioni.

Vari metodi software ampliare notevolmente le possibilità di garantire la sicurezza delle informazioni archiviate.

Tra i dispositivi di protezione standard personal computer il più usato:

Mezzi per proteggere le risorse informatiche utilizzando l'identificazione della password e limitando l'accesso a un utente non autorizzato;

Applicazione vari metodi crittografia che non dipende dal contesto delle informazioni;

Strumenti di protezione dalla copia per prodotti software commerciali;

Protezione contro i virus informatici;

Creazione di archivi.

Un virus informatico è un programma in grado di infiltrarsi spontaneamente e iniettare copie di se stesso in altri programmi, file, aree di sistemi informatici e reti di computer, al fine di creare ogni tipo di interferenza con il lavoro del computer.

Misure di base per la protezione dai virus: dotare il computer di un programma antivirus, aggiornamento costante banche dati antivirus, copie d'archivio informazione preziosa.

Programma antivirus (antivirus) - un programma per rilevare virus informatici, nonché programmi indesiderati (considerati dannosi) in generale e recuperare file infetti (modificati) da tali programmi, nonché per prevenire - prevenire l'infezione (modifica) di file o sistema operativo Codice malevolo(ad esempio, attraverso la vaccinazione).

Il software antivirus è costituito da routine che tentano di rilevare, prevenire e rimuovere virus informatici e altri software dannosi.

Il software antivirus utilizza in genere due metodi distinti:

scansione dei file alla ricerca di virus noti che corrispondono alla definizione nei database antivirus

rilevamento di comportamenti sospetti di uno qualsiasi dei programmi, simile al comportamento di un programma infetto.

I metodi principali per rilevare i virus informatici sono i seguenti:

metodo di confronto con la norma;

analisi euristica;

monitor antivirus ing;

metodo di rilevamento del cambiamento;

incorporare gli antivirus in BIOS del computer e così via.

Metodo di confronto con lo standard. Il metodo di rilevamento più semplice consiste nell'utilizzare le cosiddette maschere per cercare virus noti. Una maschera antivirus è una sequenza di codice costante specifica per quel particolare virus. Il programma antivirus esegue la scansione in sequenza (scansiona) i file scansionati alla ricerca di maschere di virus noti. Gli scanner antivirus possono trovare solo virus noti per i quali è stata definita una maschera. Se il virus non contiene una maschera permanente o la lunghezza di questa maschera non è sufficientemente grande, vengono utilizzati altri metodi. Applicazione scanner semplici non protegge il tuo computer da nuovi virus. Per virus crittografati e polimorfici in grado di modificare completamente il proprio codice in caso di infezione nuovo programma o boot sector, non è possibile allocare una maschera, quindi scanner di virus non si trovano.

Analisi euristica. Per riprodursi, un virus informatico deve eseguire alcune azioni specifiche: copiare in memoria, scrivere su settori, ecc. L'analizzatore euristico (che fa parte del motore antivirus) contiene un elenco di tali azioni e controlla i programmi e i settori di avvio di dischi e floppy disk, cercando di trovare in essi il codice caratteristico dei virus. L'analizzatore euristico può rilevare, ad esempio, che il programma in prova installa un modulo residente in memoria o scrive dati nel file eseguibile del programma. Dopo aver rilevato un file infetto, l'analizzatore di solito visualizza un messaggio sullo schermo del monitor e crea un record in proprio o registro di sistema. A seconda delle impostazioni, l'antivirus può anche inviare un messaggio su un virus rilevato all'amministratore di rete. L'analisi euristica consente di rilevare virus precedentemente sconosciuti. Quasi tutti i moderni programmi antivirus implementano i propri metodi di analisi euristica.

Monitoraggio antivirus. essenza questo metodo consiste nel fatto che nella memoria del computer è costantemente presente un programma antivirus, che controlla tutte le azioni sospette eseguite da altri programmi. Il monitoraggio antivirus consente di controllare tutti i programmi in esecuzione, i documenti creati, aperti e salvati, i file di programmi e documenti ricevuti via Internet o copiati su HDD da un floppy disk o da un CD. Il monitor antivirus avviserà l'utente se un programma tenta di eseguire un'azione potenzialmente pericolosa.

Modifica metodo di rilevamento. Quando implementano questo metodo, i programmi antivirus, chiamati disk auditor, ricordano prima le caratteristiche di tutte le aree del disco che possono essere attaccate, quindi le controllano periodicamente. Infettando un computer, il virus cambia contenuto del duro disco: ad esempio, aggiunge il suo codice a un programma o file di documento, aggiunge una chiamata di programma virus al file AUTOEXEC.BAT, cambia il settore di avvio, crea un file satellite. Confrontando i valori delle caratteristiche delle aree del disco, il programma antivirus è in grado di rilevare le modifiche apportate da virus noti e sconosciuti.

Incorporamento di antivirus nel BIOS del computer. I mezzi più semplici per proteggersi dai virus sono integrati nelle schede madri dei computer. Questi strumenti consentono di controllare tutte le chiamate verso la principale record di avvio dischi fissi, nonché ai settori di avvio di dischi e floppy disk. Se un programma tenta di modificare il contenuto dei settori di avvio, viene attivata la protezione e l'utente riceve un avviso corrispondente. Tuttavia, questa protezione non è molto affidabile. Sono noti virus che tentano di disabilitare il controllo antivirus del BIOS modificando alcune celle nella memoria non volatile del computer (memoria CMOS).

Ecco i risultati di un sondaggio condotto da WEBCITY Business Network lo scorso trimestre. Più di 7.000 persone hanno partecipato al sondaggio (Internet). Risultati del sondaggio:

formattazione del programma di informazioni antivirus

Il miglior antivirus per la casa e l'ufficio nel 2010

automatizzato posto di lavoro responsabile magazzino di una società commerciale

base informativa Magazzino Attualmente viene prestata molta attenzione alla formazione di principi per la costruzione di meccanismi di sicurezza delle informazioni (IP) ...

Le caratteristiche della protezione del personal computer sono determinate dalle specifiche del loro utilizzo. Standardizzazione dei principi architetturali per la costruzione di hardware e software per un personal computer ...

Protezione delle informazioni nei sistemi automatizzati di elaborazione dati: sviluppo, risultati, prospettive

La base ideologica dell'insieme delle linee guida è "Il concetto di protezione delle apparecchiature informatiche e dei sistemi automatizzati dall'accesso non autorizzato alle informazioni". Il concetto "stabilisce un sistema di punti di vista, principi di base ...

Sistemi complessi informazioni di sicurezza

Le modalità ei mezzi di protezione delle informazioni comprendono misure organizzative, tecniche e legali protezione delle informazioni e misure di sicurezza delle informazioni ( protezione legale informazione, protezione tecnica informazione, protezione informazione economica e T...

Metodi e mezzi di protezione delle informazioni

La necessità di proteggere le informazioni

La scelta dei mezzi per proteggere le informazioni dall'accesso non autorizzato dovrebbe basarsi sui requisiti di cui sopra per il sistema di protezione delle informazioni nell'AS SRN e su un'analisi dei mezzi di protezione esistenti nel paese. Questi fondi dovrebbero essere, se possibile...

Garantire la protezione delle informazioni nelle reti locali

L'architettura della LAN e la tecnologia del suo funzionamento consentono a un utente malintenzionato di trovare o creare deliberatamente scappatoie accesso nascosto alle informazioni...

Organizzazione della protezione delle informazioni nel locale rete di computer(sull'esempio di JSC "Mariyskiy mashinostroitelny zavod")

Sviluppo strumento software per la certificazione delle sezioni di rete

I modi per proteggere le informazioni in un'azienda, così come i modi per estrarle, cambiano costantemente. Nuove offerte da aziende che forniscono servizi di sicurezza delle informazioni appaiono regolarmente...

La classificazione si applica a tutti gli AS operativi e progettati di istituzioni, organizzazioni e imprese che trattano informazioni riservate ...

Sviluppo di un programma per automatizzare la verifica di audit durante la certificazione di oggetti di informatizzazione

Software società "Codice di sicurezza" Secret Net 6...

Sviluppo di una bozza di sistema per la protezione delle informazioni da accessi non autorizzati per sistema automatizzato uffici dell'amministrazione distrettuale

IPS Secret Net 7.0 è un sistema per la protezione delle informazioni riservate su server e workstation da accessi non autorizzati. Funziona con il sistema operativo Famiglie di Windows Linux. Rete Segreta 7...

Modi per proteggere le informazioni

Accesso non autorizzato- sta leggendo, modificando o distruggendo informazioni in assenza di un'autorità appropriata ...

Strumenti per la sicurezza delle informazioni

Il compito di proteggere le informazioni memorizzate nei sistemi informatici dall'accesso non autorizzato (UAS) è molto rilevante. Per risolvere questo problema, viene utilizzata un'intera gamma di strumenti, inclusi tecnici ...

I compiti principali degli antivirus

· Scansione di file e programmi in tempo reale.

Scansione del computer su richiesta

Scansione del traffico Internet

Scansione E-mail

Protezione contro gli attacchi di siti Web ostili

· Recupero file danneggiati(trattamento).

Strutture protezione antivirus

Gli strumenti di protezione antivirus sono progettati per eseguire la scansione dei file e della memoria del computer alla ricerca di malware noti e nuovi, disinfettare gli oggetti infetti e rimuovere le minacce.

I primi virus informatici e utilità antivirus apparso negli anni '70 del secolo scorso. A quel tempo, i virus erano "sperimentali": non avevano funzionalità dannose e venivano creati nell'ambito della ricerca sui programmi autoreplicanti. Ma presto si manifestò anche la loro azione distruttiva, che a quel tempo consisteva solo nel fatto che si copiavano attivamente e occupavano un prezioso spazio sul disco e altre risorse. I programmi antivirus avevano quindi lo scopo di neutralizzare uno o due virus specifici e non la protezione antivirus in generale.

Negli anni '80, la prima messa epidemie virali. Gli autori di virus hanno iniziato a distribuire malware in grado di distruggere documenti preziosi, programmi e file di sistema. Gli strumenti di protezione antivirus iniziarono a svilupparsi rapidamente, sebbene a quel tempo fossero ancora principalmente scanner e immunizzatori primitivi e la prevalenza di software antivirus era molto bassa.

Tipi di protezione antivirus

Negli oltre vent'anni trascorsi da allora, i prodotti antivirus sono scomparsi ottimo modo sviluppo. Gli antivirus moderni sono complessi pacchetti software, di norma, contenente più moduli interconnessi e complementari volti a combattere l'intero spettro minacce informatiche. A antivirus moderniÈ possibile utilizzare i seguenti tipi di protezione antivirus:

Confronto con un campione di virus: firma del codice del virus, modello di comportamento malware o un'impronta digitale nell'elenco "nero" delle minacce note. Questo tipo di protezione antivirus consiste nello studio programma sospetto per segni di malware. Ad esempio, quando si implementa questo tipo di protezione, l'antivirus cerca le firme, sequenze di codice univoche per un particolare virus.

Il monitoraggio comportamentale è un tipo di protezione antivirus basata sul controllo degli oggetti durante la lettura, la scrittura e altre operazioni. Per il monitoraggio, il programma antivirus si trova in memoria ad accesso casuale e funge da gestore di eventi di sistema. All'inizio di qualsiasi operazione che può portare a un'infezione, il monitor antivirus avvia la scansione dell'oggetto in elaborazione (documento, programma, ecc.).

Il rilevamento delle modifiche è un tipo di protezione antivirus basata sul monitoraggio dell'integrità dei componenti software del computer. Quando vengono infettati, i virus modificano i file registro di sistema o settori di avvio disco. Il programma antivirus determina se un oggetto è stato modificato contando i codici di controllo ciclico (somme CRC) e altri metodi.

Analisi euristica. Questo tipo la protezione antivirus si basa sul fatto che le azioni eseguite dai virus e la loro sequenza differiscono dal comportamento della maggior parte dei programmi. Pertanto, l'analisi delle sequenze di comandi e delle chiamate di sistema di software sospetto aiuta soluzione corretta sulla sua nocività.

Il trattamento è un tipo di protezione antivirus che consiste nella rimozione di oggetti dannosi e nel ripristino parametri normali sistema informatico.

Servizio di reputazione - aspetto più nuovo protezione antivirus, che si è diffusa in l'anno scorso e basato sul controllo della reputazione di programmi, risorse web e sistemi di posta. Tale verifica viene effettuata utilizzando server di reputazione "cloud" gestiti da primari sviluppatori di software antivirus, e si basa su elenchi costantemente aggiornati di risorse "legittime", dannose e sospette. Il vantaggio dei servizi di reputazione è molto alta velocità risposta a nuove minacce.

Esistono anche tipi di protezione antivirus obsoleti e ormai poco utilizzati, ad esempio l'immunizzazione, che consiste nel collocare nella memoria del computer un programma che informa i virus che evitano reinfezione, che il sistema è già infetto.

I seguenti moduli implementano la protezione antivirus:

Scanner antivirus

Monitoraggio antivirus che utilizza più tecnologie di protezione

Blocco del comportamento

Auditor antivirus o sistema di controllo CRC

Fago antivirale o medico.

I prodotti antivirus eScan di nuova generazione implementano l'intero complesso moderne tecnologie protezione.

Per proteggerti dai virus, puoi utilizzare:

Strumenti generali di protezione delle informazioni utili quanto l'assicurazione contro danni fisici ai dischi, programmi che si comportano in modo anomalo o azioni errate dell'utente;

Misure preventive ridurre il rischio di contrarre il virus;

Programmi specializzati per la protezione contro i virus.

Esistono due tipi principali di strumenti generali per la sicurezza delle informazioni che forniscono:

Copiare le informazioni: creare copie di file e aree di sistema dei dischi;

Controllo dell'accesso, che impedisce l'uso non autorizzato delle informazioni, in particolare la protezione contro le modifiche ai programmi e ai dati da parte di virus, programmi malfunzionanti e azioni errate utenti.

Per rilevare, rimuovere i virus informatici e proteggerli, sono stati sviluppati diversi tipi di programmi speciali che consentono di rilevare e distruggere i virus. Tali programmi sono chiamati programmi antivirus. Esistono i seguenti tipi di programmi antivirus:

Programmi di rilevamento;

Programmi medici o fagi;

Auditor del programma;

Filtra programmi;

Programmi vaccinali o immunizzanti.

Programmi-rivelatori cercano un codice (firma) caratteristico di un particolare virus nella RAM e nei file e, al rilevamento, emettono un messaggio appropriato. Lo svantaggio di tali programmi antivirus è che possono trovare solo virus noti agli sviluppatori di tali programmi.

Programmi medici o fagi non solo trovare i file infetti da virus, ma anche "trattarli", ad es. il corpo del programma antivirus viene rimosso dal file, riportando i file al loro stato originale. All'inizio del loro lavoro, i fagi cercano virus nella RAM, li distruggono e solo allora procedono al "trattamento" dei file. Tra i fagi si distinguono i polifagi, ad es. programmi di ricerca e distruzione del medico di più virus. I più famosi sono: Aidstest, Scan, Norton Antivirus, Dottor Web.

Dato che nuovi virus compaiono costantemente, i programmi di rilevamento e i programmi medici diventano rapidamente obsoleti e sono necessari aggiornamenti regolari delle loro versioni.

Il lavoro dei polifagi si basa su un semplice principio: cercare programmi e documenti per sezioni familiari del codice del virus (le cosiddette firme dei virus). A caso generale Una firma è un record su un virus che consente di identificare in modo univoco la presenza di un codice virus in un programma o documento.

Inizialmente, gli antivirus polifagi funzionavano molto principio semplice- file scansionati in sequenza per i programmi antivirus. Se è stata trovata la firma del virus, il codice del virus è stato rimosso dal corpo del programma o del documento. Prima di iniziare a controllare i file, il programma phage controlla sempre la RAM. Se nella RAM è presente un virus, viene disattivato. Ciò è dovuto al fatto che spesso i programmi antivirus infettano quei programmi che vengono avviati o aperti nel momento in cui il virus è nella sua fase attiva. Pertanto, se il virus rimane attivo in memoria, un controllo totale di tutti i file eseguibili porterà a un'infezione totale del sistema.

Al giorno d'oggi, i programmi antivirus sono diventati molto più sofisticati. Ad esempio, sono comparsi i cosiddetti "virus stealth". Il loro lavoro si basa sul fatto che il sistema operativo, durante l'accesso periferiche(compreso a dischi fissi) utilizza il meccanismo di interruzione. I virus stealth, in particolare, utilizzano un meccanismo di dirottamento quando si verifica un'interruzione. Sostituendo il gestore di interrupt originale con il proprio codice, i virus stealth controllano la lettura dei dati dal disco.

Se un programma infetto viene letto dal disco, il virus "morde" il proprio codice (di solito il codice non è letteralmente "morso", ma il numero del settore leggibile del disco viene modificato). Di conseguenza, l'utente ottiene un codice "pulito" da leggere. Pertanto, finché il vettore del gestore di interrupt viene modificato dal codice del virus, il virus stesso è attivo nella memoria del computer e lo rileva lettura semplice disco utilizzando il sistema operativo non è possibile.

Alla luce di quanto sopra, gli antivirus polifagi sono più efficaci solo nella lotta contro virus già noti, cioè quelli le cui firme e comportamenti sono familiari agli sviluppatori. Solo in questo caso, il virus verrà rilevato con una precisione del 100% e rimosso dalla memoria del computer, quindi da tutti i file scansionati. Se il virus è sconosciuto, può resistere con successo ai tentativi di rilevarlo e curarlo. Pertanto, la cosa principale quando si utilizza qualsiasi polifago è aggiornare le versioni del programma il più spesso possibile e database di virus.

Il cosidetto analizzatori euristici. Il punto è che c'è un gran numero di virus, il cui algoritmo è praticamente copiato dall'algoritmo di altri virus. Con l'aiuto di analizzatori euristici, l'antivirus è in grado di trovare analoghi simili di virus noti, informando l'utente che sembra avere un virus. Naturalmente, l'affidabilità dell'analizzatore euristico non è del 100%, ma è comunque il suo coefficiente azione utile oltre il 50%.

Un analizzatore di codice euristico è un insieme di routine che analizzano il codice di file eseguibili, memoria o settori di avvio per rilevare i virus informatici in esso contenuti. vari tipi. La parte principale dell'analizzatore euristico è l'emulatore di codice. L'emulatore di codice funziona in modalità di visualizzazione, ovvero il suo compito principale non è eseguire il codice, ma rilevare tutti i possibili eventi in esso contenuti, ad es. un insieme di codice o una chiamata a una funzione specifica del sistema operativo, volta a convertire i dati di sistema, lavorare con i file o rilevare costrutti di virus comunemente usati. In parole povere, l'emulatore esamina il codice del programma e identifica le azioni eseguite da questo programma. Se le azioni di questo programma rientrano in un determinato schema, viene tratta una conclusione sulla presenza di un codice virus nel programma.

Naturalmente, la probabilità di perdere e falso positivo piuttosto elevato. Tuttavia, utilizzando correttamente il meccanismo euristico, l'utente può giungere autonomamente alle conclusioni corrette. Ad esempio, se un antivirus invia un messaggio su un virus sospetto per un singolo file, la probabilità di un falso positivo è molto alta. Se ciò accade su molti file (e prima l'antivirus non ha rilevato nulla di sospetto in questi file), allora possiamo parlare dell'infezione del sistema con un virus con una probabilità vicina al 100%. L'analizzatore euristico più potente attualmente è l'antivirus Dr.Web.

Programmi per i revisori dei conti . I programmi di controllo sono tra i mezzi più affidabili per la protezione dai virus. Gli auditor ricordano lo stato iniziale di programmi, directory e aree di sistema del disco quando il computer non è infetto da virus, quindi periodicamente o su richiesta dell'utente confrontano lo stato attuale con quello originale. Le modifiche rilevate vengono visualizzate sullo schermo monitor. Di norma, gli stati vengono confrontati immediatamente dopo il caricamento del sistema operativo. Quando si confronta, la lunghezza del file, il codice di controllo ciclico ( somma di controllo file), data e ora di modifica, altri parametri. I programmi di controllo hanno algoritmi sufficientemente sviluppati, rilevano virus invisibili e possono persino ripulire le modifiche alla versione del programma verificata dalle modifiche apportate dal virus. Tra i programmi-auditor c'è il programma Adinf.

Filtra i programmi , o watchmen, sono piccoli programmi residenti progettati per rilevare attività informatiche sospette tipiche dei virus. Tali azioni possono essere:

Tenta di correggere i file con estensioni COM, EXE;

Modifica degli attributi dei file;

Registrazione diretta su disco indirizzo assoluto;

Scrittura su settori di avvio del disco;

Quando un programma cerca di produrre azioni specificate"guardiano" invia un messaggio all'utente e si offre di vietare o consentire l'azione corrispondente. I programmi di filtro sono molto utili, in quanto sono in grado di rilevare un virus nella fase iniziale della sua esistenza prima della riproduzione. Tuttavia, non "riparano" file e dischi. Per distruggere i virus, devi usare altri programmi, come phages. Gli svantaggi dei programmi di watchdog includono il loro "fastidio" (ad esempio, emettono costantemente un avviso su qualsiasi tentativo di copiare file eseguibile), nonché possibili conflitti con altri Software.

Vaccini o immunizzanti, - programmi residenti che impediscono l'infezione di file, modificando un programma o un disco in modo tale che non influisca sul loro lavoro e il virus li percepirà come infetti e quindi non si infiltrerà. I vaccini vengono utilizzati se non ci sono programmi medici che "trattano" il virus. La vaccinazione è possibile solo contro virus conosciuti. I programmi vaccinali sono attualmente di uso limitato.