Хранение и защита компьютерной информации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ
СЕВЕРО-КАВКАЗСКИЙ ГОРНО-МЕТАЛЛУРГИЧЕСКИЙ
ИНСТИТУТ(ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ)
Проскурин А.Е.
Хранение и защита компьютерной
информации
Конспект лекций студентов, обучающихся по специальности 220700.62
«Автоматизация технологических процессов и производств»
ВЛАДИКАВКАЗ 2013
Оглавление
Лекция 1 Основы хранения информации.
Лекция 2 Угрозы безопасности информации
Лекция 3 Методы и средства защиты информации
Лекция 4 Антивирусная защита
Лекция 1 Основы хранения информации
Различают устройства хранения информации, реализованные в виде электронных схем, и
накопители информации, при помощи которых данные записываются на какой-либо
носитель, например магнитный или оптический (ранее использовались даже бумажные
носители- перфокарты и перфоленты). Устройства, представляющие собой электронные
схемы, отличаются небольшим временем доступа к данным, но не позволяют хранить
большие объемы информации. Накопители информации наоборот дают возможность
хранить большие объемы информации, но время ее записи и считывания там велико.
Поэтому эффективная работа на компьютере возможна только при совместном
использовании накопителей информации и устройств хранения, реализованных в виде
электронных схем.
ОПЕРАТИВНАЯ ПАМЯТЬ ПРЕДНАЗНАЧЕНА ДЛЯ ХРАНЕНИЯ ИСПОЛНЯЕМЫХ В
ДАННЫЙ МОМЕНТ ПРОГРАММ И НЕОБХОДИМЫХ ДЛЯ ЭТОГО ДАННЫХ. Иными
словами, в ОЗУ хранится информация, с которой ведется работа в данный момент
времени.
ПОСТОЯННОЕ ЗАПОМИНАЮЩЕЕ УСТРОЙСТВО ПРЕДНАЗНАЧЕНО ДЛЯ
ХРАНЕНИЯ НЕИЗМЕНЯЕМОЙ ИНФОРМАЦИИ. В компьютере постоянно должна
храниться информация, которая нужна при каждом его включении. Например, в ПЗУ
записываются команды, которые компьютер должен выполнить сразу после включения
питания для начала работы. СОДЕРЖИМОЕ ОПЕРАТИВНОЙ ПАМЯТИ ПРОПАДАЕТ
ПРИ ВЫКЛЮЧЕНИИ ПИТАНИЯ, СОДЕРЖИМОЕ ПЗУ ПРИ ВЫКЛЮЧЕНИИ
ПИТАНИЯ СОХРАНЯЕТСЯ. Поэтому ПЗУ иногда называют энергонезависимой
памятью.
ГИБКИЕ МАГНИТНЫЕ ДИСКИ (ДИСКЕТЫ) ПРЕДНАЗНАЧЕНЫ, КАК ПРАВИЛО,
ДЛЯ ПЕРЕНОСКИ ИНФОРМАЦИИ С ОДНОЙ ЭВМ НА ДРУГУЮ. ЖЕСТКИЕ
МАГНИТНЫЕ ДИСКИ - ЭТО, КАК ПРАВИЛО, НЕСЪЕМНЫЕ УСТРОЙСТВА,
ПРЕДНАЗНАЧЕННЫЕ ДЛЯ ХРАНЕНИЯ БОЛЬШИХ ОБЪЕМОВ ИНФОРМАЦИИ.
МАГНИТНЫЕ ЛЕНТЫ, ОПТИЧЕСКИЕ И МАГНИТООПТИЧЕСКИЕ ДИСКИ
ИСПОЛЬЗУЮТСЯ И ДЛЯ ТОГО И ДЛЯ ДРУГОГО.
Принцип записи информации на магнитные ленты и диски аналогичен принципу записи
звука в магнитофоне. В магнитооптических дисках информация также хранится на
магнитном носителе, но чтение и запись осуществляются лучом лазера, что значительно
повышает сохранность информации. Информация на лазерных дисках представляет собой
участки в различной степени отражающие лазерный луч.
УСТРОЙСТВО ДЛЯ РАБОТЫ С ДИСКЕТАМИ НАЗЫВАЕТСЯ ДИСКОВОДОМ, ДЛЯ
РАБОТЫ С ЛАЗЕРНЫМИ ДИСКАМИ - CD-ROM (произносится "си-ди-ром").
5. УПОРЯДОЧИВАНИЕ ИНФОРМАЦИИ НА ДИСКЕ.
Для того, чтобы найти на диске нужную информацию, все данные находящиеся на нем
нужно привести в систему аналогично тому, как например в архивах, библиотеках, офисах
приводят в систему хранящиеся там документы и книги- по шкафам, полкам, ящикам,
папкам.
Правила упорядочивания информации могут отличаться друг от друга в зависимости от
типов программ, управляющих работой компьютеров (операционных систем), хотя общие
понятия для всех операционных систем одинаковы. Ниже описаны правила, принятые в
операционной системе MS-DOS (произносится "эм-эс-дос").
ЛОГИЧЕСКИЙ ДИСК- ЭТО ЛИБО ВЕСЬ ДИСК, ЛИБО ЧАСТЬ ДИСКА,
ПРЕДНАЗНАЧЕННАЯ ДЛЯ ХРАНЕНИЯ
ОПРЕДЕЛЕННОГО ОБЪЕМА
ИНФОРМАЦИИ. ЛОГИЧЕСКИЙ ДИСК ОБОЗНАЧАЕТСЯ БОЛЬШОЙ ЛАТИНСКОЙ
БУКВОЙ С ДВОЕТОЧИЕМ, НАПРИМЕР, А: , В: , С: , Z: .
В компьютере может иметься доступ к нескольким жестким дискам, дисководам для
дискет, CD-ROMам. Каждый из них может представлять собой отдельный логический
диск, но некоторые жесткие диски могут быть разделены на части, каждая из которых
является отдельным логическим диском. Иногда и часть оперативной памяти может
рассматриваться как логический диск (электронный диск), но при выключении питания
содержимое такого электронного диска пропадает.
Компьютер работает с каждым логическим диском как с отдельным устройством, хотя на
самом деле он может представлять собой лишь часть реального (физического) диска и
даже часть оперативной памяти:
Гибкие магнитные диски принято обозначать как диски А: и В: .
КАТАЛОГ(ДИРЕКТОРИЯ,англ.directory)- ЧАСТЬ ЛОГИЧЕСКОГО
ДИСКА,
ПРЕДНАЗНАЧЕННАЯ
ДЛЯ ХРАНЕНИЯ ОПРЕДЕЛЕННОГО
ОБЪЕМА
ИНФОРМАЦИИ. ИМЯ КАТАЛОГА (в слове "каталог" ударение делается на последнем
слоге) СОДЕРЖИТ ДО 8 СИМВОЛОВ. ЕГО ПРИНЯТО ЗАПИСЫВАТЬ БОЛЬШИМИ
ЛАТИНСКИМИ БУКВАМИ, НАПРИМЕР: STUDENT , IVANOV , TEXT и т.д.
В именах каталогов нельзя использовать пробелы, точки, запятые, но можно использовать
цифры и символы $,#,-,_,&,@,!,%,(,),{,},",^,~.
КАТАЛОГ МОЖЕТ ВКЛЮЧАТЬ В СЕБЯ НЕСКОЛЬКО ДРУГИХ КАТАЛОГОВ
(ПОДКАТАЛОГОВ) И ВХОДИТЬ В СОСТАВ ОДНОГО ДРУГОГО КАТАЛОГА
(НАДКАТАЛОГА). ЛОГИЧЕСКИЙ ДИСК ТАКЖЕ ЯВЛЯЕТСЯ КАТАЛОГОМ САМОГО
ВЫСОКОГО УРОВНЯ- КОРНЕВЫМ КАТАЛОГОМ. ТАКИМ ОБРАЗОМ НА ДИСКЕ
ОБРАЗУЕТСЯ СИСТЕМА КАТАЛОГОВ, ИМЕЮЩАЯ ДРЕВОВИДНУЮ СТРУКТУРУ,
НАПРИМЕР:
Пусть в какой-то организации (офисе фирмы, конструкторском бюро и т.п.) три
сотрудника по фамилиям Иванов, Петров и Сидоров используют для работы один
компьютер и, чтобы упорядочить информацию с которой работает каждый из них, на
диске С: выделены три каталога IVANOV, PETROV и SIDOROV (см. рисунок).
Предположим, что Иванов использует компьютер в двух целях- готовит деловые (или
какие-то другие) документы и играет (конечно, в свободное время) в компьютерные игры.
Поэтому он выделил в своем каталоге IVANOV два подкаталога TEXTS (для текстов) и
GAMES (для игр). В каталоге GAMES, в свою очередь, выделены два других подкаталогаCHESS (для шахмат) и GAMES (для остальных игр). Петров выделил в своем каталоге
четыре подкаталога, а Сидоров решил подкаталогов не создавать (наверное он не часто
пользуется компьютером).
Так могла образоваться изображенная на рисунке система каталогов, называемая деревом
каталогов.
Обратите внимание, что на диске могут быть каталоги с одинаковыми именами, но они
должны находиться в разных надкаталогах. Например на рисунке, каталог GAMES
находится в надкаталоге IVANOV, но сам является надкаталогом для другого каталога с
тем же именем GAMES .
КАТАЛОГ, РАБОТА С КОТОРЫМ ВЕДЕТСЯ В ДАННЫЙ МОМЕНТ ВРЕМЕНИ
НАЗЫВАЕТСЯ ТЕКУЩИМ. Каталоги похожи на папки, в которые вкладываются листы
бумаги с какой-то информацией. Кстати, в операционной системе WINDOWS'95
(произносится "виндоус 95") каталоги так и называются - папками (folders). А вот роль
листов бумаги, вкладываемых в папки, играют файлы.
ФАЙЛ- ИМЕЮЩАЯ СВОЕ ИМЯ, НАХОДЯЩАЯСЯ В ОДНОМ ИЗ КАТАЛОГОВ
ЛЮБОГО УРОВНЯ, ОБЛАСТЬ ДИСКА, СОДЕРЖАЩАЯ ОПРЕДЕЛЕННЫЙ ОБЪЕМ
ОДНОТИПНОЙ ИНФОРМАЦИИ.
ИМЯ ФАЙЛА СОСТОИТ ИЗ СОБСТВЕННО ИМЕНИ, СОДЕРЖАЩЕГО ОТ 1 ДО 8
СИМВОЛОВ, И НЕОБЯЗАТЕЛЬНОГО РАСШИРЕНИЯ, СОСТОЯЩЕГО ИЗ ТОЧКИ И
СЛЕДУЮЩИХ ЗА НЕЙ ОДНОГО, ДВУХ ИЛИ ТРЕХ СИМВОЛОВ. ИМЯ ФАЙЛА
ПРИНЯТО ЗАПИСЫВАТЬ МАЛЕНЬКИМИ ЛАТИНСКИМИ БУКВАМИ: student.txt ,
document.txt , program.c , game1.exe , readme .
В именах файлов и расширениях можно использовать те же символы, что и в именах
каталогов.
РАСШИРЕНИЕ ИМЕНИ ФАЙЛА, КАК ПРАВИЛО, УКАЗЫВАЕТ НА ТО, К КАКОМУ
ТИПУ ОТНОСИТСЯ ЕГО СОДЕРЖИМОЕ, например:
.txt- файл содержит текст;
.c- в файле содержится текст программы на языке СИ;
.pas- в файле содержится текст программы на языке ПАСКАЛЬ;
.hlp- в файле содержится справочная информация (от англ. help-помощь).
Вообще говоря, расширения, как и имена можно придумывать произвольно, однако
определенные программы работают с файлами определенного типа, и, чтобы отличить эти
файлы от других, следует придерживаться общепринятых расширений, например:
.doc-в файле содержится текст, созданный программой WORD;
.xls-в файле содержится таблица, созданная программой EXCEL
.wq!-в файле содержится таблица, созданная программой QUATTRO
ФАЙЛЫ, ПРЕДСТАВЛЯЮЩИЕ СОБОЙ ГОТОВЫЕ К ИСПОЛНЕНИЮ ПРОГРАММЫ,
ИМЕЮТ РАСШИРЕНИЯ .EXE , .BAT и .COM .
В качестве примера приведем рассмотренное выше дерево каталогов, но с файлами:
Обратите внимание, что файлы autoexec.bat , config.sys , cyr.exe на схеме находятся в
корневом каталоге C:, файлы ivan.hlp , john.txt - в каталоге IVANOV. Как и в случае с
каталогами, на диске могут быть файлы с одинаковыми именами, но тогда они должны
находиться в разных каталогах (файлы game1.exe на схеме).
ПОЛНОЕ ИМЯ ФАЙЛА- ИМЯ ФАЙЛА С УКАЗАНИЕМ ПУТИ К НЕМУ ОТ
КОРНЕВОГО КАТАЛОГА. ПРИ ЭТОМ ИМЕНА КАТАЛОГОВ И ФАЙЛОВ
ОТДЕЛЯЮТСЯ ДРУГ ОТ ДРУГА ОБРАТНОЙ КОСОЙ ЧЕРТОЙ - " \ ", НАПРИМЕР:
Полное имя файла нужно для того, чтобы точно указать, на каком диске, в каком каталоге
его найти, аналогично тому, как у нас указывается почтовый адрес человека: область,
город, улица, дом, квартира и только потом фамилия.
Отличия правил записи имен каталогов (папок) и файлов в операционной системе
WINDOWS'95 заключаются в следующем:
1) длина имени файла или папки (каталога) может достигать 255 символов.
2) могут использоваться русские буквы.
3) могут использоваться пробелы.
Например становится допустимым такое имя файла: Письмо моему другу Ивану.doc .
МАСКИ (ШАБЛОНЫ) - ИМЕНА ФАЙЛОВ, В КОТОРЫХ ИСПОЛЬЗУЮТСЯ
СИМВОЛЫ "*" И "?". СИМВОЛ "?" ЗАМЕНЯЕТ ОДИН ЛЮБОЙ СИМВОЛ (в том числе
может обозначать и отсутствие символа). Например, маска text?.doc означает все файлы с
именами text1.doc , text2.doc , texta.doc , text.doc и т.д.
СИМВОЛ "*" ЗАМЕНЯЕТ ЛЮБОЕ ЧИСЛО ЛЮБЫХ СИМВОЛОВ. Например, маска
text*.doc означает все файлы с именами text1.doc , text2.doc , texta.doc , text11.doc ,
textabc.doc , textcons.doc и т.д. Маска *.com означает все файлы с любыми именами и
расширением .com . Маска text.* означает все файлы с именем text и любыми
расширениями. Маска *.* означает все файлы (т.е. с любыми именами и расширениями).
Маски удобно использовать, если Вы не уверены в правильности написания имени
нужного Вам файла или хотите найти все файлы какого-то одного типа и выполнить над
ними какую-то операцию. Например, по команде удалить из текущего каталога файлы *.*
из него будут удалены все файлы.
Что такое флэш-диск?
USB Flash Drive («флэшка») - тип внешнего носителя информации для компьютера. Flash (англ.)
быстро
промелькнуть;
осенить,
прийти
в
голову.
По функциональному назначению флэш-диски ничем не отличаются от всех остальных
компьютерных дисков: это устройства для долговременного энергонезависимого хранения
информации с возможностью многократной перезаписи. Самое главное их отличие от
тривиальных винчестеров и флоппи-дисков заключается в отсутствии каких-либо подвижных
механических деталей конструкции. Для хранения информации во флэш-дисках используются
микросхемы памяти, выполненные по технологии Flash, которую еще в начале 80-х годов
разработала фирма Intel. В сущности эти микросхемы являются обычными электрически
стираемыми ППЗУ, однако имеют три существенные особенности. Во-первых, их можно стирать
и перезаписывать миллион раз, а то и больше - невероятная цифра для ЭСППЗУ, допускавших в
то время в лучшем случае 1000 перезаписей. Во-вторых, емкость этих микросхем очень быстро
достигла объема 1 Мбайт при весьма малых габаритах. И в-третьих, время хранения записанной
в такой микросхеме информации практически неограниченно. Итак, с точки зрения инженера
флэш-диск представляет собой компактное электронное устройство на основе микросхем
памяти, которое можно подключить к компьютеру вместо накопителя жесткого диска. Нужно
только точно знать, для чего это нужно.
Зачем нужны флэш-диски?
Прогресс в области производства традиционных дисков настолько велик, что кажется, нет
никакой необходимости создавать какие-либо аналогичные изделия на основе микросхем. И в
самом деле, в офисном компьютере применение внутреннего флэш-диска оправдать пока
невозможно. Однако стоит бегло сравнить эти устройства, и даже очень небогатое воображение
подскажет тысячи возможностей применения, где альтернативы флэш-дискам пока не
существует. Чем же они так хороши? Во-первых, в отличие от любого жесткого диска флэш-диск
практически невосприимчив к вибрациям. Во вторых, устойчивость к ударам в 1000 g является
нормой для этих устройств. И наконец, в третьих, диапазон рабочих температур флэш-дисков
составляет от 40°С до +85°С, что является абсолютно недостижимым для традиционных
механических дисков. Они все-таки вертятся, а на морозе это не так-то просто. Кроме того,
самые маленькие флэш-диски, например DiskOnChip 2000 фирмы M-Systems, имеют размер
микросхемы в корпусе DIP32 - и это при емкости от 2 до 72 Мб! К сожалению, все остальные
свойства флэш-дисков пока еще несколько отстают от возможностей их механических собратьев,
но и перечисленных преимуществ вполне достаточно для того, чтобы сделать правильный выбор
устройства памяти для работы в жестких условиях эксплуатации. В мобильных приложениях,
цифровых камерах, промышленных, встраиваемых и блокнотных компьютерах, радиотелефонах,
в авиации, космосе и тысячах других областей работают флэш-диски.
Какими они бывают?
Проще всего на этот вопрос ответить одним словом: любыми. И это действительно так. В
настоящее время флэш-диски выпускаются с интерфейсами ISA, PC/104, PCMCIA, СompactFlash,
IDE, SCSI, в корпусе микросхем DIP32 с контактами, как у обычных микросхем ПЗУ, и в виде
специализированных комплектов «контроллер + флэш-память» для распайки на платы. В
зависимости от емкости и функционального назначения диски имеют различное конструктивное
исполнение. Флэш-диски с интерфейсами ISA и PC/104 производятся в виде модулей на основе
печатных плат (см. рис. 1) и предназначены для непосредственной установки в соответствующие
разъемы компьютеров.
Эти устройства фиксируются внутри изделия и имеют емкость до 32 Мб. На их основе обычно
реализуются системные диски для компьютеров с повышенными требованиями к надежности и
скорости начальной загрузки. Если на таком диске запретить запись, то ни один злоумышленник,
ни один сбой в программе не разрушит записанную на нем информацию. Диски, выполненные в
конструктиве PCMCIA (рис. 2)
и CompactFlash (рис. 3), применяются в мобильной аппаратуре типа ноутбуков и палмтопов или
во входящих в моду цифровых фотоаппаратах в качестве сменных устройств для хранения или
переноса информации в обычные настольные компьютеры.
В соответствии со своими задачами они имеют специальную конструкцию в виде компактной
карточки, напоминающей кредитную или телефонную. Стандарт допускает три возможные
толщины карточек PCMCIA - 2,5; 5 и 10 мм. Соответственно эти карточки называются PCMCIA
Card Type I, II и III. Одной из самых главных функциональных особенностей этих устройств
является возможность их установки в приемный слот в «горячем» режиме без выключения
питания. Для этого разъем приемного слота имеет специальную конструкцию, обеспечивающую
строгую очередность соединения контактов земли, питания и логических сигналов. Сегодня для
карточек Type III достигнута емкость 300 Мб. Карточки серии Compact Flash являются
логическим продолжением развития стандарта PCMCIA в сторону дальнейшего уменьшения
габаритов. По размеру они примерно вдвое меньше PCMCIA Сard Type I, но сохраняют
совместимость с ними на уровне интерфейса. С помощью специального переходника
CompactFlash можно устанавливать в приемный слот для карточек PCMCIA. Максимальная
емкость дисков в формате CompactFlash пока составляет 24 Мб. Диски с интерфейсом SCSI (рис.
4) имеют просто огромную для флэш-дисков емкость - до 1,7 Гб и применяются в таких
экзотических областях, как бортовые накопители в авиации или тестирующее оборудование,
перемещающееся внутри нефте- и газопроводов.
Это объясняется только экономической нецелесообразностью применения подобных дисков для
«нормальных» задач: стоимость флэш-диска SCSI такого объема составляет сегодня около 25 000
долларов (!). Настоящий бум среди производителей одноплатных компьютеров вызвало
появление новой версии флэш-диска DiskOnChip2000 в корпусе DIP32 (рис. 5) производства
фирмы M-Systems. Гнезда для установки этих малюток появились в нынешнем году на платах
многих производителей промышленных компьютеров.
Почему они так дорого стоят?
При единичных закупках стоимость одного мегабайта на флэш-диске составляет от 10 до 24
долларов. Это объясняется в первую очередь ценой самих микросхем флэш-памяти. Для
сравнения: стоимость мегабайта на обычном электромеханическом диске сегодня не превышает
20 центов. Но если уж речь зашла о стоимости, то неплохо проследить динамику изменения цен
на флэш-диски. Еще год назад стоимость одного мегабайта на флэш-диске была не меньше 50
долларов, по прогнозам же производителей этих устройств, к 2000 г. эта цифра должна
уменьшиться до 1 доллара. С другой стороны, есть такое понятие, как начальная стоимость
накопителя. Эта величина остается почти неизменной с момента появления жестких дисков и
составляет около 250 долларов. Десять лет назад за эту цену потребителю предлагался жесткий
диск объемом 32 Мб, год назад еще можно было найти 500-мегабайтовые диски за такую
стоимость, а сегодня за эти деньги почти невозможно найти НЖМД емкостью менее 1 Гб. В то
же время начальная стоимость флэш-дисков гораздо ниже: она составляет сегодня 40 - 50
долларов. За 250 долларов можно приобрести флэш-диск относительно большой емкости - 16 Мб
(или 32 Мб, если использовать программы уплотнения типа Stacker). При этом существует
огромное количество приложений, нуждающихся в накопителях емкостью меньше 10 Мб,
например кассовые аппараты, мобильные компьютерные устройства, станки с ЧПУ или аппараты
для выдачи чеков на автомобильных стоянках. В подобных случаях применение флэш-дисков
оправданно не только с точки зрения эксплуатационных свойств, но и экономически. А если
рассматривать мобильные компьютеры, то здесь стоимость диска просто отступает на задний
план, если оценить его энергопотребление: лучше заплатить большую цену, чем каждый час
менять или перезаряжать батареи, да и само устройство более компактно. Таким образом, если
вам требуется надежный накопитель небольшого объема, логично применить флэш-диск. Хотя с
точки зрения высокоскоростной работы в нормальных условиях позиции традиционных жестких
дисков еще долго не пошатнутся.
Сто тысяч циклов записи - это много или мало?
Давайте разберемся, что означает внушительная цифра 100 тысяч циклов записи, часто
приводимая в технических описаниях флэш-дисков. Нередко можно услышать такое мнение:
«Мое устройство каждую секунду записывает 1 Кб. Значит, через полтора часа работы мне
придется покупать новый флэш-диск?». Конечно же нет! Посмотрим, например, как работают
флэш-диски компании M-Systems на основе микросхем флэш-памяти 28F008SA фирмы Intel. Эти
микросхемы объемом 1 Мб имеют блочную структуру по 64 Кб. Физическая организация флэшпамяти подразумевает стирание блока, если мы хотим его переписать заново. Иными словами,
если мы будем осуществлять последовательную запись в один блок по одному байту, то на 64
тыс. циклов записи нам потребуется один цикл стирания. Здесь стоит вспомнить, что
большинство производителей микросхем флэш-памяти, в том числе и Intel, гарантируют не
менее одного миллиона циклов стирания блока памяти микросхемы. При этом все производители
флэш-дисков применяют различные программные либо аппаратные приемы, чтобы обеспечить
равномерное распределение числа циклов стирания по всем блокам флэш-диска. В частности,
файловая система TrueFFS, разработанная фирмой M-Systems, гарантирует 95%-ную утилизацию
блоков флэш-диска. Иными словами, на диск объемом 1 Мб в течение срока его жизни может
быть записано до 95 Гб.
Лекция 2 Угрозы безопасности информации
Защита информации представляет собой деятельность по предотвращению утечки
защищаемой информации, несанкционированных и непреднамеренных воздействий на
защищаемую информацию.
! Международный день защиты информации отмечается 30 ноября
Понятие информации
"Информация" происходит от латинского слова informatio, что в переводе обозначает сведение,
разъяснение, ознакомление.
Дезинформацией - один из способов манипулирования информацией, как то введение кого-либо
в заблуждение путём предоставления неполной информации или полной, но уже не нужной
информации, искажения контекста, искажения части информации.
Основные функции защиты информации:
Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только
субъекты, имеющие на него право;
Целостность - избежание несанкционированной модификации информации;
Доступность - избежание временного или постоянного сокрытия информации от пользователей,
получивших права доступа.
Подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Наблюдаемость - это свойство информации, которое состоит в том, что процесс ее обработки
может беспрерывно находиться под контролем органа, руководящего защитой.
Обеспечение гарантий
Органы (подразделения), обеспечивающие информационную безопасность
Государственные органы РФ, контролирующие деятельность в области защиты информации:
Комитет Государственной думы по безопасности;
Совет безопасности России;
Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
Федеральная служба безопасности Российской Федерации (ФСБ России);
Служба внешней разведки Российской Федерации (СВР России);
Министерство обороны Российской Федерации (Минобороны России);
Министерство внутренних дел Российской Федерации (МВД России);
Федеральная служба по надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
Служба экономической безопасности;
Служба безопасности персонала (Режимный отдел);
Отдел кадров;
Служба информационной безопасности.
Классификация информационных атак:
• Атаки, совершающиеся ради развлечения.
• Атаки, материальные цели которых являются основными.
• Атаки, заказанные на собственные информационные системы для проверки надежности систем
от взлома.
! Затраты на защиту не должны превышать возможных убытков при потере информации.
Виды защиты:
• Программная защита, которая в свою очередь подразделяется на
- Защита ЭВМ
- Защита в сетях
• Организационная защита, которая в свою очередь подразделяется на
- Физическую защиту помещения
- Человеческий фактор
ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
Штраф - вид наказания; денежное взыскание, как правило, в пользу государства, назначаемое за
совершение проступка. Размер штрафа составляет:
• от двух с половиной тысяч до одного миллиона рублей
• или размер заработной платы или иного дохода осуждённого, подлежащего
налогообложению, за период от двух недель до пяти лет.
Обязательные работы — вид уголовного наказания, заключающийся в выполнении
осуждённым лицом в свободное от основной работы или учёбы время бесплатных общественно
полезных работ.
Арест — вид уголовного наказания, заключающегося в содержании совершившего
правонарушение и осуждённого лица в условиях строгой изоляции от общества. В уголовном
праве России рассматривается как назначаемый в качестве одного из основных видов наказания
(на срок до шести месяцев).
Ограничение свободы — вид уголовного наказания, сущность которого образует совокупность
обязанностей и запретов, налагаемых судом на осуждённого, которые исполняются без изоляции
осуждённого от общества в условиях осуществления за ним надзора со стороны
специализированного государственного органа.
Ограничение свободы являлось основным видом наказания и назначалось:
• лицам, осуждённым за совершение умышленных преступлений и не имеющим судимости,
— на срок от одного года до трёх лет;
• лицам, осуждённым за преступления, совершённые по неосторожности, — на срок от
одного года до пяти лет.
Лишение свободы — вид уголовного наказания, заключающийся в принудительной изоляции
преступника от общества в специализированном учреждении с определённым режимом
отбывания наказания. По УК РФ в случае совершения единичного преступления максимальный
срок лишения свободы может составить 20 лет, в случае назначения наказания по совокупности
преступлений — 25 лет, а по совокупности приговоров — 30 лет.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть
информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе
ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо
копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети,
-наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными
работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на
срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной
группой либо лицом с использованием своего служебного положения, а равно имеющим доступ
к ЭВМ, системе ЭВМ или их сети,
-наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от одного года до двух лет, либо
обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо
исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до
шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для
ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы,
заведомо приводящих к несанкционированному уничтожению, блокированию, модификации
либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно
использование либо распространение таких программ или машинных носителей с такими
программами
-наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч
рублей или в размере заработной платы или иного дохода осужденного за период до
восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия,
-наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ
к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию
охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься
определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста
восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих
его личную или семейную тайну, без его согласия либо распространение этих сведений в
публичном выступлении, публично демонстрирующемся произведении или средствах массовой
информации
-наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными
работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на
срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок
до двух лет с лишением права занимать определенные должности или заниматься определенной
деятельностью на срок до трех лет.
2. Те же деяния, совершенные лицом с использованием своего служебного положения,
-наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от одного года до двух лет, либо
лишением права занимать определенные должности или заниматься определенной
деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев,
либо лишением свободы на срок от одного года до четырех лет с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых,
телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных
сообщений граждан
-наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной
платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами
на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до
одного года.
2. То же деяние, совершенное лицом с использованием своего служебного положения или
специальных технических средств, предназначенных для негласного получения информации,
-наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от одного года до двух лет, либо
лишением права занимать определенные должности или заниматься определенной
деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста
восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев, либо
лишением свободы на срок от одного года до четырех лет.
3. Незаконные производство, сбыт или приобретение специальных технических средств,
предназначенных для негласного получения информации,
-наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы
на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 183. Незаконные получение и разглашение
коммерческую, налоговую или банковскую тайну
сведений,
составляющих
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну,
путем похищения документов, подкупа или угроз, а равно иным незаконным способом
-наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной
платы или иного дохода осужденного за период от одного до шести месяцев либо лишением
свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую,
налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена
или стала известна по службе или работе,
-наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной
платы или иного дохода осужденного за период до одного года с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок до трех лет либо
лишением свободы на срок до трех лет.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной
заинтересованности,
-наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок до трех лет либо
лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие
последствия,
-наказываются лишением свободы на срок до десяти лет.
Лекция 3 Методы и средства защиты информации
Методы организационной защиты
На основании перечисленных выше атак сформулируем основные методы
защиты от таких атак и подобных им. Классификация атак по существенным отличиям
позволяет утверждать о достаточной полноте списка:
� Следует определять слабые места в информационной системе безопасности и
направлять все силы на устранение этих слабых мест.
� Определив все риски в своей защите, можно оценить стоимость этих рисков, как
произведение вероятности на стоимость последствий взлома. В условиях, если
стоимость риска приблизится к стоимости взлома, то можно будет утверждать, что
система защищена. Потому как взлом будет просто не интересен злоумышленнику.
� Доступность каждого члена организации лишь до необходимой ему информации.
Закрытие информации не являющейся необходимой. Даже в условиях «взлома»
данного сотрудника злоумышленник не получит большой пользы. А «взлом»
нескольких сотрудников одновременно осуществить гораздо сложнее.
� Слаженная деятельность системных администраторов и службы безопасности.
Оперативное реагирование на любые попытки взлома и парирование этих попыток.
� Отсутствие паролей к общедоступной информации, что приводит к тому, что не
приходится проводить аутентифацию пользователя лишний раз, тем самым
лишний раз пересылая его пароль внутри сети.
� Как известно лучшим способом защиты является нападение. Как вид защиты от
любых видов атак есть запуск «утки», а именно дезинформации злоумышленника.
Таким образом, хакер получает не саму информацию, а веру в нее и этого
достаточно для парирования атаки. Приведем несколько видов запуска
дезинформации:
- Показ злоумышленнику неправильной информации, которую он хочет
получить. Для этого организуется дублирующий сервер, который он с
легкостью (но чтобы не вызвать подозрений) взламывает и получает
подложенную туда «утку»
- Показ злоумышленнику самых сильных сторон, при этом подразумевая, что
они самые слабые. В этом случае, видя безосновательность своих претензий
на взлом, злоумышленник отказывается от взлома
- Самостоятельный запуск информации в сеть. Сюда может входить описание
ложных дыр в заданной системе защиты, что сводится к предыдущему
пункту, и другие виды запуска ложной информации.
� Запрет пользоваться ICQ всему персоналу / Осуществление контроля переписки по
всем внешним источникам информации (Защита от обмена информацией, по
личным амбициям)
� Разработка политики безопасности, которая доводи
тся до всех пользователей, и
непрекословно исполняется ими. Политика безопасности должна учитывать
множество факторов, но и не должна быть слишком строгой. Политика
безопасности может содержать следующие моменты:
- Обучение сотрудников организации основам компьютерной грамотности;
- Правила пользования информационными ресурсами организации;
- Все моменты атак, в основе которых лежит социальный инжиниринг;
- Правила установление паролей пользователей, установленный образец (что
парирует риск перебора паролей, содержащие в себе имена «бывших
любовниц» и т.д.) В данном случае главное, чтобы метод создания пароля
не вышел за границы компании;
- Периодичность смены паролей. Не стоит устанавливать слишком частую
смену паролей. Пользователи начнут повторяться или записывать пароли,
что является негативным фактором.
Средства защиты от несанкционированного доступа
Основное назначение средств защиты информации (СЗИ) первой группы - разграничение
доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ
этой группы обеспечивают:
- идентификацию и аутентификацию пользователей автоматизированных систем;
- разграничение доступа зарегистрированных пользователей к информационным ресурсам;
- регистрацию действий пользователей;
- контроль целостности СЗИ и информационных ресурсов.
Авторизация и идентификация
Ввод идентификатора
пользователя
Правильный
идентификатор?
Нет
Да
Допустимое
число попыток?
Вызов процедуры
аутентификации
Идентифицирован
пользователь?
Уведомление пользователя об
ошибке
Нет
Нет
Сигнализация об НСД.
Временная блокировка
Уведомление пользователя о
входе в систему.
Рис. Классическая процедура идентификации и аутентификации.
Идентификация - это присвоение какому-либо объекту или субъекту уникального имени
или образа.
Аутентификацией (установлением подлинности) называется проверка принадлежности
субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.
Другими словами, аутентификация заключается в проверке: является ли подключающийся
субъект тем, за кого он себя выдает.
Общая процедура идентификации и аутентификации пользователя при его доступе в ИС
представлена на рисунке. Если в процессе аутентификации подлинность субъекта установлена,
то система защиты информации должна определить его полномочия (совокупность прав). Это
необходимо для последующего контроля и разграничения доступа к ресурсам.
По контролируемому компоненту системы способы аутентификации можно разделить на
аутентификацию партнеров по общению и аутентификацию источника данных. Аутентификация
партнеров по общению используется при установлении (и периодической проверке) соединения
во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор
предыдущего сеанса связи. Аутентификация источника данных — это подтверждение
подлинности источника отдельной порции данных.
По направленности аутентификация может быть односторонней (пользователь доказывает
свою подлинность системе, например при входе в систему) и двусторонней (взаимной).
Обычно методы аутентификации классифицируют по используемым средствам. В этом случае
указанные методы делят на четыре группы:
• Основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой
секретной информации — пароля.
• Основанные на использовании уникального предмета: жетона, электронной карточки и др.
•
•
Основанные на измерении биометрических параметров человека — физиологических или
поведенческих атрибутах живого организма.
Основанные на информации, ассоциированной с пользователем, например с его
координатами.
Аутентификация основанная на паролях
Наиболее распространенными являются методы аутентификации, основанные на паролях
— секретных идентификаторах субъектов. При вводе субъектом своего пароля подсистема
аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в
зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает
доступ к ресурсам ИС.
Парольные методы следует классифицировать по степени изменяемости паролей:
• методы, использующие постоянные (многократно используемые) пароли,
• методы, использующие одноразовые (динамично изменяющиеся) пароли.
В большинстве ИС используются многоразовые пароли. В этом случае пароль
пользователя не изменяется от сеанса к сеансу в течение установленного администратором
системы времени его действительности.
Более надежный способ — использование одноразовых или динамически меняющихся
паролей. Известны следующие методы парольной защиты, основанные на одноразовых паролях:
• методы модификации схемы простых паролей,
• методы «запрос-ответ»,
• функциональные методы.
В первом случае пользователю выдается список паролей. При аутентификации система
запрашивает у пользователя пароль, номер в списке которого определен по случайному закону.
Длина и порядковый номер начального символа пароля тоже могут задаваться случайным
образом.
При использовании метода ««запрос-ответ» система задает пользователю некоторые вопросы
общего характера, правильные ответы на которые известны только конкретному пользователю.
Функциональные методы основаны на использовании специальной функции парольного
преобразования f(x). Это позволяет обеспечить возможность изменения паролей пользователя во
времени по некоторой формуле. Указанная функция должна удовлетворять следующим
требованиям:
• для заданного пароля x легко вычислить новый пароль y = f(x);
• зная x и y, сложно или невозможно определить функцию f(x).
Наиболее известными примерами функциональных методов являются:
•
•
метод функционального преобразования
метод «рукопожатия».
Идея метода функционального преобразования состоит в периодическом изменении самой
функции f(x). Последнее достигается наличием в функциональном выражении динамически
меняющихся параметров, например функции от некоторой даты и времени. Пользователю
сообщается исходный пароль, собственно функция и периодичность смены пароля. Нетрудно
видеть, что паролями пользователя на заданных n-периодах времени будут следующие: x, f(x),
f(f(x)), ... f(x)n-1.
Метод «рукопожатия» состоит в следующем. Функция парольного преобразования известна
только пользователю и системе защиты. При входе в ИС подсистема аутентификации генерирует
случайную последовательность x, которая передается пользователю. Пользователь вычисляет
результат функции y=f(x) и возвращает его в систему. Система сравнивает собственный
вычисленный результат с полученным от пользователя. При совпадении указанных результатов
подлинность пользователя считается доказанной.
Лекция 11 Аутентификация с использованием электронных карт
Это метод двукомпонентной аутентификацией, требующий, помимо знания пароля, наличие
карточки (token) — специального устройства, подтверждающего подлинность субъекта.
Карточки разделяют по способу работы:
• пассивные (карточки с памятью);
• активные (интеллектуальные карточки).
По интерфейсу связи:
• Контактные (карта smart, таблетка dallas)
• Безконтактные(магнитные prox, радио rfid)
Магнитные карты — наиболее широко и давно известный тип карт. Многие системы
позволяют использовать стандартные кредитные карточки с магнитной полосой. Карты
и считыватели имеют достаточно большой, но вполне конечный ресурс.
Штрих-код — карточки содержат штрих-код (Bar code), нанесенный на бумажную или
пластиковую основу. Для считывания карточки ее необходимо определенным образом провести
через прорезь считывателя, где установлены светочувствительные элементы. Основной
недостаток — легкость копирования и подделки. Несколько труднее подделать карточки со
штрих-кодом, видимым только в инфракрасном диапазоне.
Карты Виганда (Wigand) — представляют собой пластиковую карточку, в которую при
изготовлении запрессованы хаотично расположенные отрезки проволочек из специального
магнитного сплава. Проведение карты мимо магнитной головки дает определенный код,
индивидуальный для каждой карты. Такие карты значительно более износоустойчивы,
чем магнитные, надежно защищены от подделки и копирования.
Бесконтактные (Proximity) карты — обеспечивают считывание кода просто при поднесении
карточки к считывателю на определенное расстояние, при этом позиционирование карточки
относительно считывателя не имеет значения. Карточка абсолютно не изнашивается, не имеет
источника питания, не боится влаги, загрязнения, обладает достаточной механической
прочностью, неограниченным сроком службы. Проксимити карточки обычно программируются
при изготовлении, но есть модели с возможностью перезаписи кода.
Радиоканал — () может использоваться для передачи кода считывателю. Идентификатором
может служить миниатюрный радиобрелок, или небольшой передатчик, установленный
на автомобиле. Достаточной степенью защищенности обладают только специальные системы
с «блуждающим» кодом,
остальные системы достаточно легко
«взламываются».
Преимущество — большой радиус действия. Обычно используются для управления воротами,
шлагбаумами и т.п.
ИК-брелки — миниатюрные передатчики кода в инфракрасном диапазоне. Лучше,
чем радиоканальные устройства, защищены от перехвата за счет большей направленности
и меньшего радиуса. Находят очень ограниченное применение.
Смарт карты — карта формата обычной кредитки имеет встроенный процессор и контактные
площадки для питания и обмена со считывателем. Могут иметь очень высокую степень
защищенности, но в системах контроля доступа находят крайне ограниченное применение.
Электронные ключи — различные устройства, содержащие код и передающие его считывателю
через контакты. Наибольшее распространение получили брелки и карты “touch memory” (тач
мемори) производства фирмы Dallas Semicindactor. Микросхема с кодом расположена
в миниатюрном корпусе из нержавеющей стали конструктивно напоминающем батарейку
«таблетка». Имеют крайне высокую износостойкость, механическую прочность, устойчивы
к агрессивным средам.
Биометрические методы аутентификации
Биометрия предполагает систему распознавания людей по одной или более физических или
поведенческих черт. Методы аутентификации, основанные на измерении биометрических
параметров человека, обеспечивают почти 100%-ую идентификацию, решая проблемы утери или
утраты паролей и личных идентификаторов.
Биометрические данные можно разделить на два основных класса:
•
•
Физиологические — относятся к форме тела. В качестве примера можно привести:
отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат.
Поведенческие связаны с поведением человека. Например, походка и голос. Порой
используется термин behaviometrics для этого класса биометрии.
Примерами внедрения указанных методов являются системы идентификации пользователя по
рисунку радужной оболочки глаза, отпечаткам ладони, формам ушей, инфракрасной картине
капиллярных сосудов, по почерку, по запаху, по тембру голоса и даже по ДНК (см. табл).
Физиологические методы
Поведенческие методы
• Снятие отпечатков пальцев
• Анализ подписи
• Анализ тембра голоса
• Сканирование радужной оболочки глаза
• Сканирование сетчатки глаза (2005г.
• Анализ клавиатурного почерка
отменено)
• Геометрия кисти руки
• Распознавание черт лица
• Анализ ДНК
Назовем наиболее используемые биометрические атрибуты и соответствующие системы:
Отпечатки пальцев. Такие сканеры имеют небольшой размер, универсальны, относительно
недороги. Биологическая повторяемость отпечатка пальца составляет 10-5%. В настоящее время
пропагандируются правоохранительными органами из-за крупных ассигнований в электронные
архивы отпечатков пальцев.
Геометрия руки. Соответствующие устройства используются, когда из-за грязи или травм
трудно применять сканеры пальцев. Биологическая повторяемость геометрии руки около 2-х %.
Радужная оболочка глаза. Данные устройства обладают наивысшей точностью. Теоретическая
вероятность совпадения двух радужных оболочек составляет 1 из 1078.
Черты лица. Системы позволяют идентифицировать человека на расстоянии до десятков
метров. В комбинации с поиском данных по базе данных такие системы используются для
опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении
освещенности сканеры лица имеют относительно высокий процент ошибок. (Facelt, One-on-One,
Tridentity, NVisage,)
Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях.
Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25
$. Вероятность ошибки составляет 2-5%. Сейчас развиваются направления идентификации
личности и его состояния по голосу — возбужден, болен, говорит правду, не в себе и т.д.
(Графология — это изучение почерка с целью определения психического склада и способностей
человека.)
Ввод с клавиатуры. Здесь при вводе, например, пароля отслеживаются скорость и интервалы
между нажатиями.
Почерк В криминалистике распознавание почерка используется не только для идентификации
личности (почерк каждого человека индивидуален, как индивидуально его бессознательное), но
и для оценки состояния пишущего, как-то: нервное напряжение, психическое расстройство,
травма, алкогольное опьянение.
Подпись. Для контроля рукописной подписи используются дигитайзеры.
Лекция 4 Антивирусная защита
Компьютерный вирус - это небольшая программа, написанная программистом высокой
квалификации, способная к саморазмножению и выполнению разных деструктивных действий.
На сегодняшний день известно свыше 50 тыс. компьютерных вирусов.
Существует много разных версий относительно даты рождения первого компьютерного вируса.
Однако большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые,
впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей
создания самовоспроизводящихся программ. Одним из "пионеров" среди компьютерных вирусов
считается вирус "Brain", созданный пакистанским программистом по фамилии Алви. Только в
США этот вирус поразил свыше 18 тыс. компьютеров. В начале эпохи компьютерных вирусов
разработка вирусоподобных программ носила чисто исследовательский характер, постепенно
превращаясь на откровенно вражеское отношение к пользователям безответственных, и даже
криминальных "элементов". В ряде стран уголовное законодательство предусматривает
ответственность за компьютерные преступления, в том числе за создание и распространение
вирусов.
Вирусы действуют только программным путем. Они, как правило, присоединяются к файлу или
проникают в тело файла. В этом случае говорят, что файл заражен вирусом. Вирус попадает в
компьютер только вместе с зараженным файлом. Для активизации вируса нужно загрузить
зараженный файл, и только после этого, вирус начинает действовать самостоятельно.
Некоторые вирусы во время запуска зараженного файла становятся резидентными (постоянно
находятся в оперативной памяти компьютера) и могут заражать другие загружаемые файлы и
программы. Другая разновидность вирусов сразу после активизации может быть причиной
серьезных повреждений, например, форматировать жесткий диск. Действие вирусов может
проявляться по разному: от разных визуальных эффектов, мешающих работать, до полной
потери информации. Большинство вирусов заражают исполнительные программы, то есть файлы
с расширением .EXE и .COM, хотя в последнее время большую популярность приобретают
вирусы, распространяемые через систему электронной почты.
Следует заметить, что компьютерные вирусы способны заражать лишь компьютеры. Поэтому
абсолютно абсурдными являются разные утверждения о влиянии компьютерных вирусов на
пользователей компьютеров.
Основные источники вирусов:
- дискета, на которой находятся зараженные вирусом файлы;
- компьютерная сеть, в том числе система электронной почты и Internet;
- жесткий диск, на который попал вирус в результате работы с зараженными программами;
- вирус, оставшийся в оперативной памяти после предшествующего пользователя.
Основные ранние признаки заражения компьютера вирусом:
- уменьшение объема свободной оперативной памяти;
- замедление загрузки и работы компьютера;
- непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней
модификации файлов;
- невозможность сохранять файлы в нужных каталогах;
- непонятные системные сообщения, музыкальные и визуальные эффекты и т.д.
Признаки активной фазы вируса:
- исчезновение файлов;
- форматирование жесткого диска;
- невозможность загрузки файлов или операционной системы.
Существует очень много разных вирусов. Условно их можно классифицировать следующим
образом:
1) загрузочные вирусы или BOOT-вирусы заражают boot-секторы дисков. Очень опасные, могут
привести к полной потере всей информации, хранящейся на диске;
2) файловые вирусы заражают файлы. Делятся на:
- вирусы, заражающие программы (файлы с расширением .EXE и .COM);
- макровирусы вирусы, заражающие файлы данных, например, документы Word или рабочие
книги Excel;
- вирусы-спутники используют имена других файлов;
- вирусы семейства DIR искажают системную информацию о файловых структурах;
3) загрузочно-файловые вирусы способные поражать как код boot-секторов, так и код файлов;
4) вирусы-невидимки или STEALTH-вирусы фальсифицируют информацию прочитанную из
диска так, что программа, какой предназначена эта информация получает неверные данные. Эта
технология, которую, иногда, так и называют Stealth-технологией, может использоваться как в
BOOT-вирусах, так и в файловых вирусах;
5) ретровирусы заражают антивирусные программы, стараясь уничтожить их или сделать
нетрудоспособными;
6) вирусы-черви снабжают небольшие сообщения электронной почты, так называемым
заголовком, который по своей сути есть Web-адресом местонахождения самого вируса. При
попытке прочитать такое сообщение вирус начинает считывать через глобальную сеть Internet
свое 'тело' и после загрузки начинает деструктивное действие. Очень опасные, так как
обнаружить их очень тяжело, в связи с тем, что зараженный файл фактически не содержит кода
вируса.
Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут
быть очень серьезными. В ряде стран уголовное законодательство предусматривает
ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты
информации от вирусов используются общие и программные средства.
К общим средствам, помогающим предотвратить заражение и его разрушительных последствий
относят:
- резервное копирование информации (создание копий файлов и системных областей жестких
дисков);
- избежание пользования случайными и неизвестными программами. Чаще всего вирусы
распространяются вместе с компьютерными программами;
- перезагрузка компьютера перед началом работы, в частности, в случае, если за этим
компьютером работали другие пользователи;
- ограничение доступа к информации, в частности физическая защита дискеты во время
копирования файлов с нее.
К программным средствам защиты относят разные антивирусные программы (антивирусы).
Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует
заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в
случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные
программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового
компьютерного вируса защиты от него не существует до тех пор, пока для него не будет
разработан свой антивирус. Однако, много современных антивирусных пакетов имеют в своем
составе специальный программный модуль, называемый эвристическим анализатором, который
способен исследовать содержимое файлов на наличие кода, характерного для компьютерных
вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения
новым вирусом.
Типы антивирусных программ
За сравнительно недолгую историю существования компьютерных вирусов антивирусная
индустрия разработала целый ряд довольно эффективных мер борьбы с "компьютерной заразой".
С течением времени некоторые из них устаревали и постепенно выводились антивирусными
компаниями из действующего арсенала, на смену которым приходили новые, более современные
и эффективные технологии. Подобная смена поколений весьма характерна для антивирусных
программ, что определяется постоянным противостоянием вирус-антивирус. Последнее
обстоятельство порождает непрекращающуюся гонку вооружений: появление нового вируса,
использующего ранее неизвестную брешь в системе защиты операционной системы или
приложения, немедленно влечет за собой адекватные действия по нейтрализации угрозы со
стороны антивирусных программ. Например, такая судьба постигла иммунизаторов, бывших
столь популярными на заре эры персональных компьютеров: они просто перестали
удовлетворять требованиям, предъявляемым антивирусным программам. В свою очередь,
антивирусные компании также нельзя обвинить в пассивности позиции, когда речь заходит о
безопасности их заказчиков. Практически в каждой из них или есть специальные подразделения
высокопрофессиональных антивирусных экспертов, которые занимаются изучением возможных
путей развития вирусов, или эти компании регулярно проводят совещания, мозговые штурмы,
преследующие те же цели. Наглядным примером может быть разработка механизмов защиты от
неизвестных вирусов: технология эвристического анализа, избыточное сканирование и
поведенческие
блокираторы
Сегодня выделяются 5 основных типов антивирусных программ: сканеры, мониторы, ревизоры
изменений, иммунизаторы и поведенческие блокираторы. Некоторые из них практически вышли
из употребления в связи с низкой эффективностью, другие еще не используются достаточно
широко.
Сканеры
Антивирусные сканеры – пионеры антивирусного движения, впервые появившиеся на свет
практически одновременно с самими компьютерными вирусами. Принцип их работы
заключается в поиске в файлах, памяти, и загрузочных секторах вирусных масок, т.е.
уникального программного кода вируса. Вирусные маски (описания) известных вирусов
содержатся в антивирусной базе данных и если сканер встречает программный код,
совпадающий с одним из этих описаний, то он выдает сообщение об обнаружении
соответствующего вируса.
Здесь возникает первая проблема, потому что малейшие модификации вируса могут сделать его
невидимым для сканера: программный код не будет полностью совпадать с описанием в базе
данных. К примеру, существует много вариантов вируса "Чернобыль", и почти для каждого из
них антивирусным кампаниям приходилось выпускать отдельное обновление антивирусной базы
данных. Другим аспектом данной проблемы являются т.н. полиморфные вирусы, т.е. вирусы, не
имеющие постоянного программного кода: заражая очередной файл, они при помощи
шифрования самостоятельно изменяют свой вид, при этом сохраняя свою функциональность.
Привязанность сканеров к антивирусным базам означает вторую проблему: время между
появлением вируса и выходом соответствующего обновления пользователь оставался
практически незащищенным от атак новых вирусов. К счастью, сейчас скорость доставки
противоядия сведена до минимума, в некоторых случаях исчисляясь минутами. Но и вирусы не
стоят на месте: при помощи электронной почты они могут распространиться по всему миру за
считанные секунды! Таким образом, даже современную скорость разработки и доставки защиты
от новых вирусов нельзя считать достаточной. Именно поэтому еще в начале 90-х, эксперты
придумали и внедрили в сканеры оригинальный способ обнаружения неизвестных вирусов –
эвристический анализатор, т.е. анализ последовательности команд в проверяемом объекте,
аккумуляция статистики и принятие решения о возможности присутствия в нем неизвестного
компьютерного вируса. Однако, данный метод характеризуется наличием ложных срабатываний,
недостаточно высоким уровнем надежности и отсутствием гарантии эффективного удаления
обнаруженных вирусов. Для борьбы же с полиморфными вирусами были изобретены другие
приемы: алгоритмические языки, описывающие все возможные варианты кода и системы
автоматической дешифрации кода (эмуляторы).
Наконец, третья проблема: антивирусный сканер проверяет файлы, только когда пользователь
“попросит” его это сделать, т.е. запустит программу. Это требует постоянного внимания и
концентрации. Очень часто пользователи забывают проверить сомнительный файл,
загруженный, например, из Интернет и, в результате, собственноручно заражают свой
компьютер. Таким образом, сканер способен определить факт заражения постфактум, т.е. уже
после того, как в системе появится вирус.
К другим недостаткам сканеров следуют отнести их большой размер, что определяется
необходимостью "таскать" с собой антивирусную базу данных, требовательность к системным
ресурсам и небольшая скорость поиска вирусов. Несмотря на это, не стоит забывать важное
преимущество сканеров: они способны блокировать распространение Internet-червей,
эффективно удалять вирусы из зараженных файлов и загрузочных секторов диска и
восстанавливать их работоспособность. Безусловно, последнее возможно, только если вирус не
уничтожил оригинальное содержимое зараженного объекта.
Мониторы
Развитие аппаратных возможностей компьютеров и появление более совершенных
операционных систем сделало возможным разработку второго вида антивирусных программ антивирусных мониторов. На данный момент различаются три основных типа: файловые
мониторы, мониторы для почтовых программ и мониторы для специальных приложений.
По своей сути все они являются разновидностью сканеров, которые постоянно находятся в
памяти компьютера и осуществляют автоматическую проверку всех используемых файлов в
масштабе реального времени. Современные мониторы осуществляют проверку в момент
открытия и закрытия программы. Таким образом, исключается возможность запуска ранее
инфицированных файлов и заражения файла резидентным вирусом.
Для включения антивирусной защиты, пользователю достаточно загрузить монитор при запуске
операционной системы или приложения. Как правило, это делает сам антивирусный пакет в
процессе его установки следующими способами:
- добавляет инструкцию запуска монитора в каталог автоматически исполняемых программ или в
соответствующее поле системного реестра
- регистрирует монитор как системный сервис, который запускается вне зависимости от имени
пользователя
- интегрирует монитор в почтовую программу или другое приложение.
Благодаря фоновому режиму работы антивирусные мониторы позволяют пользователю не
обременять себя заботой о ручном сканировании каждого нового файла: антивирусная проверка
будет осуществлена автоматически. В случае обнаружения вредоносной программы, монитор, в
зависимости от настроек, вылечит файл, заблокирует его выполнение или изолирует, переместив
в специальную карантинную директорию для дальнейшего исследования.
Файловые мониторы являются наиболее распространенной разновидностью этого типа
антивирусных программ. Они работают как часть операционной системы, в масштабе реального
времени проверяя все используемые объекты, вне зависимости от их происхождения и
принадлежности какому-либо приложению. Процедура работы файловых мониторов основана на
перехвате и антивирусной фильтрации потока данных в т.н. точке входа операционной системы.
Если в объекте, поступившем на точку входа, не обнаружено вредоносных программ, то он
передается на выполнение. В обратном случае, объект, по описанному выше сценарию, лечится,
блокируется или изолируется. Файловые мониторы широко используются как на рабочих
станциях, так и на файловых серверах и серверах приложений. В случае их применения на
сервере необходимо убедиться, что монитор поддерживает многопоточность обработки файлов,
т.е. способен проверять одновременно много файлов. Иначе это может негативно сказаться на
быстродействии как сервера так и сети в целом.
Мониторы для почтовых программ представляют собой антивирусные модули,
интегрирующиеся в программы обработки электронной почты – как серверные, так и клиентские.
По сути дела, они становятся неотъемлемой частью программы и при поступлении нового
письма автоматически проверяют его. В отличие от файловых мониторов они требуют меньше
системных ресурсов и гораздо более устойчивы, так как возможность системного конфликта на
уровне приложения существенно меньше, нежели на уровне операционной системы. В
дополнение к этому "почтовые" мониторы проверяют все входящие и исходящие сообщения
сразу же после их получения или отправления. Файловые мониторы способны распознать
вредоносный код только когда пользователь попробует его запустить. Кроме того, антивирусный
модуль способен не только обнаруживать, но и успешно лечить все участки зараженных
сообщений: прикрепленные файлы, другие сообщения любого уровня вложенности, внедренные
OLE объекты и само тело письма. Такой комплексный подход не дает вирусам шансов
«укрыться» ни в одном из участков письма. Мониторы для специальных приложений также
обеспечивают фоновую проверку объектов, но только в рамках приложения, для которого они
предназначены. Наглядным примером могут быть антивирусные мониторы для MS Office 2000.
Подобно своим "почтовым" "коллегам" они интегрируются в программу и находятся в памяти
компьютера во время ее работы. Эти мониторы также в масштабе реального времени
контролируют все используемые файлы и сообщают об обнаруженных вирусах. По сравнению с
антивирусными сканерами мониторы предоставляют пользователям больше удобств в работе с
компьютерами, полностью автоматизируя процесс проверки системных ресурсов. К другим их
достоинствам стоит отнести способность обнаружить, локализовать и блокировать вирус на
самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно
известный вирус постоянно "выползает неизвестно откуда". Однако, мониторы также требуют
наличия громоздких антивирусных баз данных. Помимо этого, они отличаются более низкой
степенью устойчивости работы, что определяет предпочтение многими системными
администраторами регулярным проверкам серверных ресурсов сканерами, нежели постоянное
использование мониторов.
Ревизоры изменений
Третья разновидность антивирусов – ревизоры изменений (integrity checkers). Эта технология
защиты основана на том факте, что вирусы являются обычными компьютерными программами,
имеющими способность тайно создавать новые или внедряться в уже существующие объекты
(файлы, загрузочные секторы). Иными словами, они оставляют следы в файловой системе,
которые затем можно отследить и выявить факт присутствия вредоносной программы.
Принцип работы ревизоров изменений основан на снятии оригинальных “отпечатков” (CRCсумм) с файлов, системных секторов и системного реестра. Эти “отпечатки” сохраняются в базе
данных. При следующем запуске ревизор сверяет “отпечатки” с их оригиналами и сообщает
пользователю о произошедших изменениях, отдельно выделяя вирусоподобные и другие, не
подозрительные, изменения.
В 1990 году первые вирусы-невидимки (stealth) Frodo и Whale чуть было не поставили под
сомнение эффективность этого типа антивирусов. Технология работы вирусов-невидимок
основывается на сокрытии своего присутствия в системе при помощи подстановки в случае
попытки проверки зараженных файлов и загрузочных секторов антивирусными программами их
"чистых" вариантов. Такие вирусы перехватывают прерывания обращения к диску и, при
обнаружении попытки запустить или прочитать зараженный объект, подставляют его
незараженную копию. Несмотря на это, ревизоры "научились" обращаться к дискам
непосредственно через драйвер дисковой подсистемы IOS (супервизор ввода-вывода), минуя
системные прерывания, что позволило им успешно обнаруживать даже вирусы-невидимки.
К достоинствам наиболее продвинутых ревизоров изменений стоит отнести исключительно
высокую скорость работы, низкие требования к аппаратной части компьютера, высокий процент
восстановления файлов и загрузочных секторов, поврежденных вирусами, в том числе
неизвестными. Их подход к лечению зараженных объектов основывается не на знании как
выглядит вирус, а на знании как выглядит "чистый" файл или сектор: все, что "портит чистоту"
рассматривается как изменение, достойное внимания ревизора, который способен вернуть объект
к исходному состоянию. Именно поэтому ревизоры не требуют громоздкой антивирусной базы
данных, довольствуясь лишь описаниями способов внедрения вирусов, которые занимают, в
зависимости от продукта, всего от 300 до 500 килобайт. Зная эти способы, программа может
быстро и эффективно удалить вирус вне зависимости от того, где находится его код: начале,
середине, конце или же вообще разбросан в виде небольших кусков по всему зараженному
объекту. У ревизоров изменений тоже есть свои недостатки. Во-первых, они не способны
поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже
после того, как вирус разошелся по компьютеру. Во-вторых, они не могут определить вирус в
новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной
копии или при распаковке файлов из архива), поскольку в их базах данных отсутствует
информация об этих файлах. Этим пользуются некоторые вирусы, которые используют эту
“слабость” ревизоров и заражают только вновь создаваемые файлы, оставаясь, таким образом,
невидимыми для этих антивирусных программ. В-третьих, ревизоры требуют регулярного
запуска – чем чаще это будет происходить, тем надежнее будет контроль над вирусной
активностью.
Иммунизаторы
Необходимо также упомянуть такую разновидность антивирусных программ, как иммунизаторы.
Они делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы,
блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец
файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на
изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: абсолютная
неспособность обнаружить заражение вирусами-невидимками, принцип маскировки которых
описан выше. Второй тип иммунизаторов защищает систему от поражения каким-либо
определенным вирусом. Файлы модифицируются таким образом, что вирус принимает их за уже
зараженные. Например, чтобы предотвратить заражение COM-файла вирусом Jerusalem
достаточно дописать в его конец строку MSDos. Для защиты от резидентного вируса в память
компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается
на нее и считает, что система уже заражена. Второй тип иммунизации не может быть признан
универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: у каждого
из них свои приемы определения зараженности файлов. Кроме того, многие вирусы не
проверяют файлы на предмет присутствия в них своей копии. Несмотря на это, подобные
иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового
неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными
сканерами. Из-за описанных выше недостатков иммунизаторы не получили большого
распространения и в настоящее время практически не используются.
Поведенческие блокираторы
Все перечисленные выше типы антивирусов не решают главной проблемы – защиты от
неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед
ними до тех пор, пока антивирусные компании не разработают противоядия. Иногда на это
требуется до нескольких недель. Все это время компании по всему миру имеют реальную
“возможность” потерять важнейшие данные, от которых зависит будущее их бизнеса или
результаты многолетних трудов. Однозначно ответить на вопрос “что же делать с неизвестными
вирусами?” нам предстоит лишь в новом тысячелетии. Однако уже сейчас можно сделать
прогноз относительно наиболее перспективных путей развития антивирусного программного
обеспечения. На наш взгляд, таким направлением станут т.н. поведенческие блокираторы.
Именно они имеют реальную возможность со 100% гарантией противостоять атакам новых
вирусов. Что такое поведенческий блокиратор? Это резидентная программа, которая
перехватывает различные события и в случае "подозрительных" действий (действий, которые
может производить вирус или другая вредоносная программа), запрещает это действие или
запрашивает разрешение у пользователя. Иными словами, блокиратор совершает не поиск
уникального программного кода вируса (как это делают сканеры и мониторы), не сравнивает
файлы с их оригиналами (наподобие ревизоров изменений), а отслеживает и нейтрализует
вредоносные программы по их характерным действиям. Идея блокираторов не нова. Они
появились достаточно давно, однако эти антивирусные программы не получили широкого
распространения из-за сложности настройки, требующей от пользователей глубоких знаний в
области компьютеров. Несмотря на это, технология неплохо прижилась на других направлениях
информационной защиты. Например, хорошо известный стандарт Java, разработанный
компанией Sun, обеспечивал каждой выполняемой Java-программе строго ограниченное
виртуальное пространство (набор разрешенных действий), которое предотвращало все попытки
программ выполнить запрещенные инструкции (например, удаление файлов), которые, по
мнению пользователя слишком подозрительны и представляют угрозу безопасности его данных.
Давайте рассмотрим подробнее достоинства и недостатки поведенческих блокираторов.
Теоретически, блокиратор может предотвратить распространение любого как известного, так и
неизвестного вируса, предупреждая пользователя до того, как вирус заразит другие файлы или
нанесет какой-либо вред компьютеру. Но вирусоподобные действия может производить и сама
операционная система или полезные утилиты. Здесь стоит провести грань между двумя типами
блокираторов: файловыми блокираторами и блокираторами для приложений.
Файловый поведенческий блокиратор не может самостоятельно определить - кто же выполняет
подозрительное действие - вирус, операционная система или какая-либо утилита и вынужден
спрашивать подтверждения у пользователя. Т.е. в конечном счете решение зачастую принимает
пользователь, который должен обладать достаточными знаниями и опытом, чтобы дать
правильный ответ. В противном случае операционная система или утилита не сможет произвести
требуемое действие, либо вирус проникнет в систему. Именно по этой причине блокираторы и не
стали популярными: их достоинства зачастую становились их недостатками, они казались
слишком навязчивыми своими запросами и пользователи просто удаляли эти программы. К
сожалению, ситуацию сможет исправить лишь изобретение искусственного интеллекта, который
сможет самостоятельно разобраться в причинах того или иного подозрительного действия.
Блокираторы для специализированных приложений имеют гораздо больше шансов получить
широкое распространение, поскольку круг их компетенции четко ограничен структурой
конкретного приложения. Это значит, что под зоркий глаз блокиратора попадает строго
ограниченное количество действий, которые могут совершать программы, созданные для
данного приложения.
Наиболее показательный пример – Microsoft Office и проблема защиты от макро-вирусов. Если
рассматривать программы, написанные на наиболее распространенном макроязыке VBA (Visual
Basic for Application), то тут можно с очень большой долей вероятности отличить вредоносные
действия от полезных.
Благодаря проведенному анализу макро-вирусов в процессе моделирования их поведения, можно
определить наиболее часто встречающиеся последовательности их действий. Это позволяет
внедрить в программу новую, высокоинтеллектуальную систему фильтрации действий макросов
и с высокой долей достоверности безошибочно выявлять и предотвращать те из них, которые
представляют собой потенциальную опасность. Именно благодаря этому поведенческий
блокиратор для MS Office не столь "навязчив" как его файловые "коллеги". Но, задавая меньше
вопросов пользователю, программа не стала менее надежной. Используя его, пользователь
практически на 100% защищен от макро вирусов, как известных, таки и еще не написанных.
Блокиратор перехватывает и блокирует выполнение даже многоплатформенных макро-вирусов,
т.е. способных работать сразу в нескольких приложениях. Он одинаково надежно предотвращает
действие вирусов в таких приложениях как Word, Excel, Access, PowerPoint, Project и даже
приложениях, использующих язык VBA, но не входящих в состав пакета Microsoft Office – Visio,
AutoCAD и др. Программа контролирует работу макросов с внешними приложениями, в т.ч. с
почтовыми программами. Тем самым полностью исключается возможность распространения
макро-вирусов через электронную почту. Использование поведенческого блокиратора для MS
Office избавляет пользователя от вечной головной боли по поводу загрузки и подключения
новых обновлений антивирусной базы для защиты от новых макро-вирусов, потому что любой
новый макро-вирус уже по определению будет перехватываться программой. Это означает, что
ликвидируется наиболее опасный отрезок времени между появлением вируса и антивируса.
Однажды установленный, он надежно защитит компьютер от макро-вирусов вплоть до выхода
новой версии языка программирования VBA с реализацией новых функций, которые могут
использоваться для написания вирусов.
Главной целью поведенческих блокираторов является решение проблемы обнаружения и
предотвращения распространения макро-вирусов. Однако, по определению, он не предназначен
для их удаления. Именно поэтому его необходимо использовать совместно с антивирусным
сканером, который будет способен успешно уничтожить вирус. Блокиратор позволит безопасно
переждать период между обнаружением нового вируса и выпуском обновления антивирусной
базы для сканера, не прибегая к остановке работы компьютерных систем из-за боязни навсегда
потерять ценные данные или серьезно повредить аппаратную часть компьютера.
Мы прогнозируем, что с развитием компьютерных технологий, особенно в области разработки
элементов искусственного интеллекта, значение, эффективность и простота использования
блокираторов (в т.ч. файловых) будут стремительно возрастать. Именно этот тип антивирусных
программ в ближайшее время станет основным средством антивирусной защиты, обеспечивая ее
наиболее ответственный передний край – блокировку проникновения и распространения новых,
ранее неизвестных вирусов.
Обзор типов антивирусных программ был бы не совсем полным, если бы мы не упомянули о
лучшем способе их использования. Наши рекомендации предельно просты: лучшим вариантом
может быть продуманная комбинация всех описанных выше способов. Следуя хорошо известной
поговорке, советующей не класть все яйца в одну корзину, мы рекомендуем не полагаться
целиком и полностью на сканеры или мониторы. У каждого вида антивирусных программ есть
свои достоинства и недостатки. В совокупности они удачно компенсируют друг друга повышая
степень защиты как домашнего компьютера, так и гетерогенной сети мирового масштаба.