Профилактическая сторона использования антивирусных программ заключается в проверке файлов на присутствие вирусов перед их загрузкой на защищаемый компьютер и тем более перед их выполнением на этом компьютере. Для защиты от вирусов используют три группы методов: • анализ содержимого данных (поиск вирусных сигнатур). • выявление вредоносных программ на основе их поведения в информационной системе.
• регламентация и правила работы с данными и документами. Регламент является одной из основных моделей обеспечения безопасности информационных систем. Например, для подготовки какого либо секретного документа можно использовать лишь определенный компьютер, и далее этот документ можно печатать лишь на определенном оборудовании для печати секретных документов. Для своевременного определения заражения компьютера или информационной системы вирусом необходимо постоянно исследовать и выявлять новейшие типы и виды вирусов. Для того чтобы идентифицировать вирус необходимо определить его однозначное описание — выявить сигнатуру вируса. Сигнатура вируса — однозначно определённая последовательность байтов, которая всегда точно присутствует в определённом виде вирусов и по которой этот вид вируса можно с большой вероятностью опознать. Как можно понять из этого определения следует основная идея метода сканирования сигнатур. Для любого вновь обнаруженного вируса осуществляется анализ кода, на основании которого однозначно определяется сигнатура.
После чего все известные сигнатуры вирусов помещаются в базу данных вирусных сигнатур, с которой работает антивирусная программа. Главным недостатком является тот факт, что невозможно обнаружить присутствие в системе нового вируса, для которого еще нет сигнатуры в базе данных антивирусной программы. Метод контроля целостности. Метод контроля целостности основан на технологии проверки CRC (контрольной суммы). Для каждого объекта информации производится расчет контрольной суммы, для того чтобы сверить полученные значения с значениями контрольной суммы для данного документа после его передачи по сети. Но в то же время существуют максимально опасные с точки зрения наносимого ущерба вирусы, обладающие специальными методами. Примером такихопасных вирусовможно считать вирусы, которые после того как осуществили заражение компьютера производят полное форматирование жесткого диска, или отключают вентиляторы охлаждения системы и максимально загружают процессор и оперативную память вследствие чего может произойти физическое повреждение компонентов компьютера. В случае обнаружения сигнатур вирусов подобного рода антивирусные средства должны вводить карантин — то есть запрещать запуск новых процессов, до момента излечения от выявленного вируса. Известно, что вирусные программы разных видов могут содержать функционально подобные блоки. Например, многие виды вирусов содержат функцию внедрения в исполняемый код. Для этого они сначала отыскивают файлы с расширениями «*.ехе», а затем выполняют для них операции открытия и записи. И хотя совокупность этих действий может быть реализована разными кодовыми последовательностями, ее все же можно характеризовать некоторыми общими признаками, которые могут стать опознавательным знаком для функции внедрения вируса.
Если в результате сканирования в файле обнаруживают некоторое число подозрительных команд и/или признаков подозрительных кодовых последовательностей, то делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке. Этот метод обладает хорошим быстродействием, но довольно часто он не способен выявлять новые вирусы. Принципиально другим подходом по сравнению с методами сканирования содержимого файлов являются методы, основанные на анализе поведения программ вовремя их выполнения. В этом случае тестируемую программу запускают фактически в отладочном режиме, до момента начала выполнения злонамеренных инструкций. В том случае, если тестируемая программа пытается осуществить действия, которые могут быть расценены как злонамеренные, она приостанавливается, и пользователю предлагается лечить программу, либо удалить без возможности восстановления.
3.4. Сетевые экраны.
Сетевой экран — это аппаратно-программный комплекс, осуществляющий защиту информационной инфраструктуры локальной сети от вторжения и попыток несанкционированного доступа извне. У понятия сетевой экран также существует несколько других названий, но суть и понятие сохраняется — брэндмауэр и фаерволл. Если говорить простым языком, то это своего рода стена, защищающая компьютер, или если он установлен в роутере, то локальную сеть от злоумышленников.
3.5. Системы обнаружения вторжений.
Система обнаружения вторжений (Intrusion Detection System, IDS) — аппаратно-программные средства, предназначенные для детектирование попыток вторжений и логирование всех возможных внешних воздействий на сетевую инфраструктуру. В отличие от сетевых экранов и прокси-серверов, которые строят защиту сети исключительно на основе анализа сетевого трафика, системы обнаружения вторжений учитывают в своей работе различные подозрительные события, происходящие в системе. Существуют ситуации, когда сетевой экран оказывается проницаемым для злоумышленника, например, когда атака идет через туннель VPN из взломанной сети или инициатором атаки является пользователь внутренней сети и т. п. Экран, несмотря на то что обладает памятью и анализирует последовательность событий, конфигурируется на блокирование трафика с заранее предсказуемыми признаками, например, по определенным уже известным адресам, или сигнатурам. Так что факт взлома внешней сети, с которой у него был установлен защищенный канал, и которая до сих пор вела себя вполне корректно, в правилах экрана отразить нельзя. Подобные подозрительные действия может обнаружить только система со встроенными агентами во многих точках сети, причем она должна следить не только за трафиком, но и за обращениями к критически важным ресурсам операционных систем отдельных компьютеров, а также иметь информацию о перечне подозрительных действий (сигнатур атак) пользователей. Таковой и является система обнаружения вторжений. Она не дублирует действия межсетевого экрана, а дополняет их, производя, кроме того, автоматический анализ всех журналов событий, имеющихся у сетевых устройств и средств защиты, чтобы попытаться найти следы атаки, если ее не удалось зафиксировать в реальном времени.
3.6. Протоколы защищенного канала. Известно, что защиту информационной системы можно разделить на две основные подзадачи:
Защита данных внутри компьютерной системы;
Защита данных в процессе передачи от одной системы к другой. И для обеспечения защиты при передаче данных используется технология защищенного канала. В зависимости от места расположения программного обеспечения защищенного канала различают две схемы его образования:
• схема с конечными узлами, взаимодействующими через публичную сеть;
• схема с оборудованием поставщика услуг публичной сети, расположенным на границе между частной и публичной сетями. Сразу можно сказать про самый существенный и большой минус второй схемы образования защищенного канала — в этом случае появляется третья сторона — поставщик услуг, оборудование которого может не соответствовать всем нормам и правилам качественного обеспечения информационной безопасности. Также в этом случае нельзя доподлинно проверить нет ли в самом оборудовании так называемых «закладок» — своего рода потайных дверей для доступа к конфиденциальной информации, которая может циркулировать в частной сети. Но в то же время есть огромное преимущество — в этом случае не нужно самостоятельно изучать принципы построения защищенного канала, необходимо лишь арендовать или выкупить необходимое оборудование у поставщика услуг. В первой схеме есть одновременно и преимущество, и недостаток — это децентрализованность, то есть анонимные защищенные каналы связи создаются непосредственно между собеседниками, без участия какого-либо центрального компьютера или маршрутизатора. Но в то же время это и большой плюс — невозможно отследить приемник и источник защищенного траффика.
Заключение
.
За последние десятилетия технологии шагнули далеко вперед, но зачастую самым надежным способом хранения и защиты информации остается крепкий огнеупорный сейф. Вопрос обеспечения безопасности информации выходит на ведущие роли во всех компаниях, связанных с использованием сети Интернет, поэтому необходимо не только знать про методы и способы защиты информации, но и уметь применять существующие и новые средства обеспечения безопасности информации. Ведь как известно «Homohominilipusest» (лат. «Человек человеку волк»).Список использованной литературы.
Материалы интернет-ресурса «securitylab.ru» (.
http://www.securitylab.ru)."Основы информационной безопасности" - Учебное пособие для вузов/ Белов Е. Б., Лось В. П., Мещеряков Р. В., Шелупанов А. А. — М.: Горячая линия — Телеком, 2006. — 544 с."Методы и средства хранения и защиты компьютерной информации" - Мельников В. П. — ТНТ, 2014 — 400 с."Компьютерные сети. Принципы, технологии, протоколы" - В. Олифер, Н. Олифер Питер, 2014 — 944 с."Нормативная база и стандарты в области информационной безопасности" - Ю. Родичев — 2017."Информационная безопасность и защита информации" - Е. Баранова, А.Бабаш."Основы информационной безопасности" - С. А. Нестеров.
Введение
в защиту информации в автоматизированны системах: Учебн. пособие для вузов / Малюк A.A., Пaзизин C.B., Погожий H.C. — M.: Горячая линия — Телеком, 2004. — 147 c. Защита информации от утечки по техническим каналам: Учебн. пособие Хорев A.A. — M.: МО РФ, 2006.
Информационная безопасность открытых систем. Часть 1: Учебник для вузов / Запечников C.B., Милославская H.Г., Толстой A.И., Учебное пособие. Информационная безопасность предприятия. Девянин П.H. Садердинов A.A., Трайнев B.A. и др. — M., 2006. 335. Защита компьютерной информации от несанкционированного доступа Щеглов A.Ю. — C.-П., 2004. 384 c. Информационная безопасность автоматизированных систем: Учебное пособие, издание второе, дополненное.
Будников C.A., Паршин H. BИздательство им." Е. А. Болховитинова, Воронеж, 2011.
Информационная безопасность: Учебное пособие / В. А. Семененко. — М.: МГИУ, 2010. — 277 c. Информационная безопасность автоматизированных систем / А. Ф. Чипига. — М.: Гелиос АРВ, 2010. — 336 c.
