- •Раздел № 3 Программные средства реализации информационных процессов.
- •Языки программирования
- •Поколения языков программирования
- •Уровни языков программирования
- •Рекурсивная подпрограмма обычно выполняется медленнее, чем ее нерекурсивный аналог и сложнее отлаживается.
- •Алгоритмический язык программирования
- •Императивное программирование
- •Декларативный язык программирования
- •Языки программирования для Интернета
- •Объектно-ориентированное программирование
- •Основные концепции ооп
- •Основы представления графических данных Виды компьютерной графики
- •Представление графических данных Форматы графических данных
- •Понятие цвета
- •Раздел № 5
- •Локальные и глобальные компьютерные сети.
- •Понятие "открытая система"
- •Обеспечение совместного использования аппаратных и программных ресурсов сети;
- •Обеспечение совместного доступа к ресурсам данных.
- •Появление стандартных технологий локальных сетей
- •Сетевые операционные системы
- •Аппаратное обеспечение средств защиты. Задачи аппаратного обеспечения защиты информации
- •Сетевые черви
- •Троянские программы
- •Утилиты несанкционированного удаленного администрирования
- •Утилиты для проведения dDoS-атак
- •Серверы рассылки спама
- •Многокомпонентные "троянцы"- загрузчики
- •Административные меры борьбы с вирусами
- •Персональные брандмауэры
- •Брандмауэр, встроенный в Microsoft Windows xp
Административные меры борьбы с вирусами
Говоря о степени ответственности антивирусной защиты, требуется разделять корпоративные и частные системы. Если речь идет об информационной безопасности организации, то необходимо позаботиться не только о технических (программных и аппаратных) средствах, но и об административных.
Если в некоторой компании есть сеть, не связанная с Интернетом, то вирус извне туда не проникнет, а чтобы вирус случайно не попал в корпоративную сеть изнутри, можно просто не давать пользователям возможности самостоятельно считывать носители информации, такие как CD-диски, USB-флэш или выходящие из употребления дискеты. Например, если кому-то из сотрудников необходимо считать что-либо с CD, он должен обратиться к администратору, который имеет право установить CD и считать данные. При этом за проникновение вирусов с этого CD уже несет ответственность администратор.
При нормальной организации безопасности в офисе именно администратор контролирует установку любого ПО; там же, где сотрудники бесконтрольно устанавливают софт, в сети рано или поздно появляются вирусы.
Большинство случаев проникновения вирусов в корпоративную сеть связано с выходом в Интернет с рабочей станции. Существуют режимные организации, где доступ к Интернету имеют только неподключенные к корпоративной сети станции. В коммерческих организациях такая система неоправданна. Там Интернет-канал защищается межсетевым экраном и прокси-сервером, о принципах работы которых будет сказано позднее. Во многих организациях разрабатывается политика, при которой пользователи имеют доступ лишь к тем ресурсам Интернета, которые нужны им для работы.
Как эволюционируют антивирусные программы
Антивирусные программы развивались параллельно с вредоносными кодами.
Первые антивирусные алгоритмы строились на основе сравнения с эталоном (часто эти алгоритмы называют сигнатурным поиском). Каждому вирусу ставилась в соответствие некоторая сигнатура или маска. С одной стороны, маска должна была быть небольшого размера, чтобы база данных всех таких масок не приняла угрожающих размеров. С другой стороны, чем больше размер сигнатуры, тем ниже вероятность ложного срабатывания (когда достоверно незараженный файл определяется антивирусом как инфицированный). На практике разработчики антивирусных программ использовали маску длиной 10-30 байт. Первые антивирусы знали какое-то количество сигнатур, могли находить и лечить определенное число вирусов. Получив новый вирус, разработчики анализировали его код и составляли уникальную маску. Эта маска добавлялась в базу данных антивирусных сигнатур, а само обновление распространялось на дискете. Если при сканировании подозрительного файла антивирус находил код, соответствующий маске, то исследуемый файл признавался инфицированным. Описанный алгоритм применяется в большинстве антивирусных программ до сих пор.
В середине 90-х годов появились первые полиморфные вирусы. Эти вредители изменяли свое тело по непредсказуемым алгоритмам, что значительно затрудняло анализ кода вируса и составление сигнатуры. Для борьбы с полиморфными вирусами метод сигнатурного поиска был дополнен средствами эмуляции среды выполнения. Эмуляция – это точное выполнение на ЭВМ программы или ее части, которые записаны в системе команд другой ЭВМ. Другими словами, антивирус не исследовал подозрительный файл статически, а запускал его в специальной искусственно созданной среде. Специалисты по антивирусам называют ее песочницей. Дело в том, что песочница абсолютно безопасна. Вирус в ней не сможет размножиться или нанести вред. Он также не сможет отличить песочницу от настоящей среды. В этом виртуальном пространстве антивирус следил за исследуемым объектом, ждал, пока код вируса будет расшифрован, и запускал метод сигнатурного поиска.
Второй базовый механизм для борьбы с компьютерными паразитами также появился в середине 90-х годов. Это эвристический анализ. Данный метод представляет собой существенно усложненный эмулятор, только в результате анализируется не код подозрительного файла, а его действия. Для того чтобы размножаться, файловый вирус должен копировать свое тело в память, открывать другие исполняемые файлы и записывать туда свое тело, записывать данные в секторы жесткого диска и т.д. Есть характерные действия и у сетевого червя. Это прежде всего доступ к адресной книге и сканирование жесткого диска на предмет обнаружения любых адресов электронной почты. Благодаря этому эвристический анализатор способен обнаружить даже те вредоносные коды, сигнатуры которых еще неизвестны.
Таким образом, сегодня двумя основными способами борьбы с вирусами являются сигнатурный поиск и эвристический анализатор. Все сигнатуры размещены в антивирусной базе - специальном хранилище, в котором антивирус хранит маски вредоносных программ. Эффективность сигнатурного поиска сильно зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз как минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры, используется Интернет.
Методы защиты от компьютерных вирусов
Существует три рубежа защиты от компьютерных вирусов:
предотвращение поступления вирусов;
предотвращение вирусной атаки, если вирус проник в компьютер;
предотвращение разрушительных воздействий, если атака произошла.
Существует три метода реализации защиты:
программные методы защиты;
аппаратные методы защиты;
организационные методы защиты.
Создавать систему безопасности следует с конца - с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража компьютера или выход из строя жесткого диска.
Средства антивирусной защиты
Основным средством защиты информации является резервное копирование наиболее ценных данных. Резервные копии хранятся отдельно от компьютера. Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Для защиты информации рекомендуется выполнять ряд действий.
1. Хранить образ жесткого диска на внешних носителях.
2. Регулярное сканировать жесткие диски в поисках компьютерных вирусов, при этом нужно регулярно обновлять антивирусную программу.
3. Вести контроль за изменением размеров и других атрибутов дисков.
4. Контролировать обращения к жесткому диску. Наиболее опасные операции, связанные с работой компьютерных вирусов, обращены на модификацию данных, записанных на жестком диске. Антивирусные программы могут контролировать обращения к диску и предупреждать пользователя о подозрительной активности.
Антивирусные программы делятся на несколько типов:
Детекторы – они обнаруживают вирусы. Детекторы сравнивают загрузочные сектора дисков с известными загрузочными секторами, которые формируют операционные системы и обнаруживают вирусы. Сейчас в чистом виде такие программы встречаются редко;
Фаги или программы-доктора. Фаг – это программа, которая обнаруживает и уничтожает вирус, т. е. удаляет код вируса из файла. Пример: Aidstest. Очень мощный фаг – Doctor Web, а также фаг – AntiViral Tookit Pro – эта программа находит и неизвестные вирусы;
Ревизоры. Они относятся к самым надежным защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер не заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. Пример – Adinf;
Сторожа. Это резидентная программа, постоянно находящаяся в памяти. Она контролирует попытки изменения файлов с расширением .com, .exe, следит за изменением атрибутов файлов, записями в загрузочные сектора диска и т. д.;
Вакцины (иммунизаторы) – резидентные программы, предотвращающие заражение файлов. Вакцинация возможна только для известных вирусов.
Атрибуты файла: только для чтения, скрытый, архивный
Брандмауэр - средство защиты частных сетей
Межсетевые экраны или брандмауэры или файерволы (от англ. FIREWALL). Брандмауэр – это часть ПО, эта программа помогает защитить ПК от вирусов и других угроз безопасности, защищает от несанкционированного доступа через сеть.
Интересно происхождение данного термина. Брандмауэрами называли специальные устройства в поездах. В машинном отделении паровозов топливо находилось поблизости от топки. Кочегар бросал лопатой уголь в топку, и легковоспламеняющаяся угольная пыль часто вспыхивала. Из-за этого в машинном отделении нередко возникали пожары. Чтобы огонь не распространялся на пассажирские вагоны, позади машинного отделения начали устанавливать железные загородки. Именно этот щит получил название "брандмауэр".
Первые компьютерные брандмауэры были созданы для того, чтобы препятствовать распространению сетевого программного обеспечения, содержащего множество ошибок, на всю сеть с одного ее участка. Подобно своим железнодорожным прототипам, они были средством локализации "пожара".
Сегодня брандмауэры выступают в роли защитников границ между локальными сетями и Интернетом. Персональные брандмауэры выполняют те же функции, но на границе между домашним компьютером и Интернетом.
Брандмауэр, или межсетевой экран,- это система, предотвращающая несанкционированный доступ извне во внутреннюю сеть. Брандмауэры бывают аппаратными или программными. Аппаратный брандмауэр - это устройство, которое подключается к сети физически, фильтрует входящий и исходящий трафик и защищает от нежелательных проникновений во внутреннюю сеть или на персональный компьютер. Программный брандмауэр выполняет те же функции, но является не внешним аппаратным устройством, а программой, установленной на компьютере. В роли параметров фильтрации выступают адреса получателя и отправителя каждого сетевого пакета, протокол передачи данных (например, HTTP, FTP и т.д.), приложение, которое отсылает или принимает сетевой пакет и т.д.
Несанкционированный пользователь не сможет получить доступ в локальную сеть, если ее защищает брандмауэр.
Брандмауэр защищает частную сеть и отфильтровывает те данные, обмен которыми запрещен. Если в компании есть, например, 100 персональных компьютеров, объединенных в локальную сеть и имеющих выход в Интернет, но нет брандмауэра, то злоумышленник сможет проникнуть на каждый из этих компьютеров из Интернета.
Брандмауэры, предназначенные для защиты корпоративной сети, часто имеют встроенные proxy-сервер и систему обнаружения вторжений (систему обнаружения атак).
Proxy-сервер играет роль посредника между внутренней сетью организации и Интернетом. Сервер-посредник кэширует (сохраняет) часто запрашиваемые web-страницы в своей памяти. Когда пользователь запрашивает какую-нибудь страницу из Интернета, proxy-сервер проверяет, есть ли она в его базе данных. Если есть, то страница сразу же отправляется к пользователю. Если нет, то proxy-сервер запрашивает оригинальный сервер, где размещена страница, и, получив ее, отправляет пользователю. Механизм сохранения часто запрашиваемой информации позволяет значительно сэкономить время доступа к наиболее важным данным.
Еще одной функцией proxy-сервера часто является трансляция сетевых адресов (NAT - Network Address Translation). Ее суть в том, чтобы сделать компьютеры внутренней сети организации невидимыми для внешних запросов. Если злоумышленник попытается "заглянуть" во внутреннюю сеть компании, он увидит один лишь proxy-сервер (в данном случае еще и брандмауэр). Он не сможет узнать внутренние адреса компьютеров, а следовательно, вторгнуться в корпоративную сеть будет значительно сложнее. Естественно, механизм трансляции адресов немного замедляет работу всей защищаемой сети.
Системы обнаружения вторжений, даже являясь составной частью крупного брандмауэра, дополняют другие системы информационной безопасности. Они не только определяют сам факт проникновения в сеть, но и выявляют подозрительные действия.
Если брандмауэры рассматривать как забор с калиткой, через которую могут пройти те, кто наделен соответствующими полномочиями, система обнаружения будет выступать здесь в роли устройств внешнего видеонаблюдения и охранной сигнализации. Охранная система включается, когда злоумышленник перелез через забор или сломал калитку и теперь намеревается захватить центральный пульт управления. То есть когда хакер уже проник внутрь и готовится поразить жизненно важную систему.
Работа системы обнаружения вторжений строится на законах математической статистики. Каждое действие, происходящее в системе, подвергается анализу на соответствие сценарию сетевой атаки. Так как действия злоумышленника разнятся от случая к случаю, системе обнаружения вторжений приходится учитывать отклонения реально происходящих событий от сценария нападения.