МИНИСТЕРСТВО ОБЩЕГО И ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

ВОЛГОГРАДСКИЙ  ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ  УНИВЕРСИТЕТ

КАФЕДРА ИНФОРМАЦИОННЫЕ

СИСТЕМЫ В ЭКОНОМИКЕ

РЕФЕРАТ  НА ТЕМУ:

“ПРИНЦИПЫ  ЗАЩИТЫ ЭЛЕКТРОННОЙ     ИНФОРМАЦИИ”

Выполнила Студент Мухина Е.В. Группы Э-253 Проверил Шахов  А.Н.

ВОЛГОГРАД, 2000г.

Содержание

1. Введение......................................................................................................................................... 4

2. Меры информационной безопасности.................................................................... 5

3. Технические меры защиты информации............................................................... 6

4. Аппаратные средства защиты........................................................................................ 7

4.1. защита от сбоев в электропитании.......................................................................................... 7

4.2. защита от сбоев процессоров.................................................................................................... 7

4.3. защита от сбоев устройств для  хранения информации...................................................... 8

4.4. защита от утечек информации  электромагнитных излучений........................................ 8

5. Программные средства защиты информации.................................................... 9

5.1. Средства архивации информации........................................................................................... 9

5.2. Антивирусные программы..................................................................................................... 10

5.2.1. Классификация компьютерных вирусов............................................................................ 10

5.2.1.1. Резидентные вирусы...................................................................................................... 11

5.2.1.2. Нерезидентные вирусы.................................................................................................. 11

5.2.1.3. Стелс-вирусы.................................................................................................................. 11

5.2.1.4. Полиморфик-вирусы...................................................................................................... 11

5.2.1.5. Файловые вирусы........................................................................................................... 12

5.2.1.6. Загрузочные вирусы....................................................................................................... 12

5.2.1.7. Макро-вирусы................................................................................................................. 13

5.2.1.8. Сетевые вирусы.............................................................................................................. 13

5.2.1.9. Троянские кони (логические бомбы или временные бомбы).................................... 14

5.2.2. Методы обнаружения и удаления компьютерных вирусов.............................................. 14

5.2.2.1. Профилактика заражения компьютера......................................................................... 14

5.2.2.2. Восстановление пораженных объектов....................................................................... 15

5.2.2.3. Классификация антивирусных  программ................................................................... 15

5.2.2.4. Сканеры........................................................................................................................... 15

5.2.2.5. CRC-сканеры.................................................................................................................. 16

5.2.2.6. Блокировщики................................................................................................................. 16

5.2.2.7. Иммунизаторы................................................................................................................ 17

5.2.2.8. Перспективы борьбы с  вирусами................................................................................. 17

5.3. Криптографические методы защиты................................................................................... 18

5.3.1. Требования к криптосистемам............................................................................................ 19

5.3.2. Симметричные криптосистемы.......................................................................................... 20

5.3.3. Системы  с открытым ключом............................................................................................ 20

5.3.4. Электронная подпись........................................................................................................... 21

5.3.5. Управление ключами........................................................................................................... 22

5.3.5.1. Генерация ключей.......................................................................................................... 22

5.3.5.2. Накопление ключей........................................................................................................ 22

5.3.5.3. Распределение ключей................................................................................................... 23

5.3.6. Реализация  криптографических методов.......................................................................... 23

5.4. Идентификация и аутентификация..................................................................................... 24

5.5. Управление доступом.............................................................................................................. 26

5.6. Протоколирование и аудит..................................................................................................... 26

6. Безопасность баз данных................................................................................................ 27

6.1. Управление доступом в базах данных.................................................................................. 28

6.2. Управление целостностью данных....................................................................................... 28

6.3. Управление параллелизмом................................................................................................... 28

6.4. Восстановление данных.......................................................................................................... 29

6.4.1. Транзакция и восстановление............................................................................................. 30

6.4.2. Откат и раскрутка транзакции............................................................................................. 30

7. Защита информации при  работе в сетях.............................................................. 31

7.1. межсетевые экраны  и требования к ним........................................................................... 31

7.2. Использование электронной почты...................................................................................... 33

7.2.1. Защита от фальшивых адресов............................................................................................ 33

7.2.2. Защита от перехвата............................................................................................................. 33

8. Заключение............................................................................................................................... 34

9. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ  И ЛИТЕРАТУРЫ................................. 35

1. Введение

   В последнее время все чаще стал встречаться термин - "информационное общество".   С  точки зрения анализа изменения производительных сил и производственных отношений, "информационное общество" может быть определено как общество, в котором основным предметом труда большей части людей являются информация и знания, а орудием труда - информационные технологии. Информационные технологии, основанные на новейших  достижениях электронно-вычислительной техники, которые получили название новых информационных технологий (НИТ), находят все большее применение в различных сферах деятельности. Новые информационные технологии создают новое информационное пространство и открывают  совершенно новые, ранее  неизвестные и недоступные  возможности, которые  коренным образом меняют  представления о  существовавших  ранее технологиях получения и обработки информации. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Все больше и больше отраслей человеческой деятельности становятся настолько  сильно пронизаны этими новыми информационными технологиями, насколько и зависимы от них. Предоставляя огромные возможности, информационные  технологии, вместе с тем, несут в себе и большую  опасность, создавая  совершенно новую, мало  изученную область для  возможных угроз, реализация которых  может  приводить к  непредсказуемым  и даже  катастрофическим последствиям.  Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. Сбой в информационных технологиях применяемых в управлении атомными станциями или химическими предприятиями может привести к экологическим катастрофам. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать. Ущерб от возможной реализации  угроз можно свести к минимуму,  только  приняв меры, которые  способствуют обеспечению информации. Под угрозой безопасности  понимается действие  или событие, которое может привести к разрушению, искажению или  несанкционированному  использованию ресурсов сети, включая  хранимую, обрабатываемую информацию, а также  программные и  аппаратные средства.

Угрозы  подразделяются на случайные (непреднамеренные) и умышленные. Источником  первых  могут быть  ошибочные действия пользователей, выход  из строя аппаратных средств  и другие.

Умышленные угрозы   подразделяются на  пассивные и  активные. Пассивные угрозы не разрушают  информационные  ресурсы. Их задача -  несанкционированно  получить информацию. Активные угрозы преследуют цель  нарушать  нормальный  процесс функционирования  систем обработки информации, путем разрушения или  радиоэлектронного  подавления линий, сетей, вывода из строя  компьютеров,  искажения баз данных и т.д. Источниками  активных угроз  могут быть  непосредственные  действия  физических  лиц,  программные вирусы и т.д.

2. Меры информационной безопасности.

     Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется

Можно выделить следующие направления мер  информационной безопасности.

- правовые

- организационные

- технические

        К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение

        К организационным мерам отнесу охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

         К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое. Более подробно эти меры будут рассмотрены в последующих разделах этого реферата.

3. Технические меры защиты информации.

Можно так  классифицировать  потенциальные угрозы,  против которых направлены технические меры защиты информации:

1. Потери информации из-за сбоев оборудования:

- перебои электропитания;

- сбои дисковых систем;

- сбои работы серверов, рабочих станций, сетевых карт и т.д.

2. Потери информации из-за некорректной работы программ:             

- потеря или изменение данных при ошибках ПО;

- потери при заражении системы компьютерными вирусами;

3. Потери, связанные с несанкционированным доступом:

- несанкционированное копирование, уничтожение или  подделка  информации;

- ознакомление с конфиденциальной информацией

4. Ошибки обслуживающего персонала и пользователей:

- случайное уничтожение или изменение данных;

- некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению  данных

Сами технические меры защиты можно разделить на:

:

        - средства аппаратной  защиты, включающие средства защиты кабельной системы, систем электропитания,  и т.д.

        - программные средства защиты, в том числе: криптография, антивирусные программы, системы разграничения полномочий, средства контроля доступа и т.д..

        - административные меры защиты, включающие подготовку и обучение персонала, организацию тестирования и приема в эксплуатацию программ,  контроль доступа в помещения и т.д.

        Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства  получили, в частности, в области контроля доступа, защиты от вирусов и т.д..

4. Аппаратные средства защиты.

    Под  аппаратными  средствами  защиты  понимаются  специальные средства,  непосредственно   входящие   в   состав   технического обеспечения  и выполняющие функции защиты  как  самостоятельно, так и в комплексе с другими средствами, например с программными. Можно выделить  некоторые наиболее важные элементы аппаратной защиты:

- защита от сбоев в электропитании;

- защита от сбоев серверов, рабочих станций и  локальных компьютеров;

- защита от сбоев устройств  для хранения информации;

- защита от утечек информации  электромагнитных излучений.

Рассмотрю их подробнее.

4.1. защита от сбоев в электропитании

        Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельной компьютера в течение какого-то промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. В противном случае  используется следующая функция подобных устройств – компьютер получает сигнал, что UPS перешел на работу от собственных аккумуляторов и время такой автономной работы ограничено. Тогда компьютер выполняет действия по корректному завершению всех выполняющихся программ и отключается (команда SHUTDOWN). Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т.д. - оснащены собственными дублированными системами электропитания.

        Крупные организации  имеют собственные аварийные электрогенераторы или резервные линии электропитания. Эти линии подключены к разным подстанциям, и при выходе из строя одной них электроснабжение осуществляется с резервной подстанции.

4.2. защита от сбоев процессоров

      Один из методов такой  защиты - это резервирование особо важных компьютерных подсистем. Пример – симметричное мультипроцессирование. В системе используется более двух процессоров, и в случае сбоя одного из них,  второй   продолжает работу так, что пользователи вычислительной системы даже ничего не замечают. Естественно на такую защиту требуется гораздо больше средств.

4.3. защита от сбоев устройств для  хранения информации.

        Организация надежной и эффективной системы резервного копирования  и дублирования данных является одной из важнейших задач по обеспечению сохранности информации. В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы резервного копирования непосредственно в свободные слоты серверов. Это могут быть устройства записи на магнитные ленты (стример), на компакт-диски многоразового использования, на оптические диски и т.д. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. В некоторых случаях, когда подобные сбои и потеря информации могут привести к неприемлемой остановке работы -  применяются  система зеркальных винчестеров.  Резервная копия информации формируется в реальном времени, то есть в любой момент времени при выходе из строя одного винчестера  система сразу же начинает работать с другим.

   В месте с тем, кроме аппаратных средств резервного копирования данных существуют и чисто программные средства архивации, о которых будет упомянуто в последующих разделах реферата.

4.4. защита от утечек информации  электромагнитных излучений.

     Прохождение электрических  сигналов  по цепям ПК и соединительным кабелям  сопровождается   возникновением   побочных   электромагнитных излучений (ПЭМИ)    в    окружающей    среде.    Распространение    побочных электромагнитных  излучений  за  пределы   контролируемой   территории  на десятки, сотни, а иногда и тысячи метров, создает  предпосылки  для  утечки  информации,  так  как  возможен  ее перехват  с  помощью  специальных  технических  средств  контроля.   В персональном   компьютере   кроме проводных линий связи также основными   источниками   электромагнитных излучений являются  мониторы, принтеры, накопители на магнитных дисках,  а   также  центральный  процессор.  Исследования показывают,  что излучение   видеосигнала   монитора   является   достаточно    мощным, широкополосным и охватывает диапазон метровых и дециметровых волн.   Для уменьшения   уровня   побочных   электромагнитных   излучений применяют  специальные  средства  защиты  информации:   экранирование, фильтрацию,  заземление, электромагнитное зашумление, а также средства ослабления уровней нежелательных электромагнитных излучений и  наводок при помощи различных резистивных и поглощающих согласованных нагрузок.

     При контроле  защиты  информации   ПК   используются   специально разработанные  тестовые  программы,  а  также  специальная  аппаратура контроля  уровня  излучения,  которые  определяют  режим  работы   ПК, обеспечивающий  совместно  с  другими  техническими средствами скрытый режим работы для различных средств разведки.

5. Программные средства защиты информации

    Программными    называются    средства     защиты     данных, функционирующие в составе программного обеспечения. Среди них можно выделить и подробнее рассмотреть следующие;

- средства архивации данных

- антивирусные программы

- криптографические средства

- средства идентификации и аутентификации пользователей

- средства управления доступом

- протоколирование и аудит

Как примеры комбинаций вышеперечисленных мер  можно привести:

- защиту баз данных

- защиту информации при работе в компьютерных сетях.

5.1. Средства архивации информации.

        Иногда резервные копии информации приходится выполнять при общей ограниченности ресурсов размещения данных, например владельцам персональных компьютеров. В этих случаях используют программную архивацию. Архивация это слияние нескольких файлов и даже каталогов в единый файл — архив, одновременно с сокращением общего объема исходных файлов путем устранения избыточности, но без потерь информации, т. е. с возможностью точного восстановления исходных файлов. Действие большинства средств архивации основано на использовании алгоритмов сжатия, предложенных в 80-х гг. Абрахамом Лемпелем и Якобом Зивом. Наиболее известны и популярны следующие архивные форматы;

 

- ZIP,  ARJ   для операционных систем  DOS. и Windows

- TAR  для операционной  системы Unix

- межплатформный формат  JAR (Java ARchive)

- RAR (все время растет популярность этого нового формата, так как разработаны программы позволяющие использовать его в операционных системах DOS, Windows и Unix),

     Пользователю  следует лишь выбрать для себя подходящую программу, обеспечивающую работу с выбранным форматом, путем оценки ее характеристик – быстродействия, степени сжатия, совместимости с большим количеством форматов, удобности интерфейса, выбора операционной системы и т.д.. Список таких программ очень велик – PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar и много других. Большинство из этих программ не надо специально покупать, так как они  предлагаются  как  программы  условно-бесплатные  (Shareware) или свободного распространения (Freeware).  Также очень важно установить постоянный график проведения таких работ по архивации данных  или выполнять их  после большого обновления данных.

5.2.         Антивирусные программы.

  Это программы разработанные для защиты информации от вирусов. Неискушенные пользователи обычно считают, что     компьютерный вирус  -  это  специально  написанная  небольшая  по размерам  программа,  которая  может  "приписывать"  себя   к   другим программам (т.е.   "заражать"   их),   а   также  выполнять  нежелательные различные  действия  на  компьютере. Специалисты по компьютерной вирусологии определяют, что  ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить, что это условие не является достаточным  т.е. окончательным. Вот почему точного определения вируса нет до сих пор, и вряд ли оно появится в обозримом будущем. Следовательно, нет точно определенного закона, по которому «хорошие» файлы можно отличить от «вирусов». Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет.

5.2.1. Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим основным признакам:

- деструктивные возможности

- особенности алгоритма работы;

- среда обитания;

По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими  эффектами;

- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

- очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти

ОСОБЕННОСТИ  АЛГОРИТМА РАБОТЫ вирусов можно охарактеризовать следующими свойствами:

- резидентность;

- использование стелс-алгоритмов;

- самошифрование и полиморфичность;

5.2.1.1. Резидентные вирусы

Под термином "резидентность" (DOS'овский термин TSR - Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всек копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражает диск повторно после того, как он отформатирован.

5.2.1.2. Нерезидентные вирусы.

Нерезидентные вирусы, напротив, активны довольно непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Поэтому файлы, зараженные нерезидентными вирусами значительно проще удалить с диска и при этом не позволить вирусу заразить их повторно.

5.2.1.3. Стелс-вирусы

Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе..

Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Известны стелс-вирусы всех типов, за исключением Windows-вирусов — загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы Windows, является скорее всего делом времени

5.2.1.4. Полиморфик-вирусы

САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик - вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

К полиморфик-вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок - участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключем и случаным набором команд расшифровщика или изменением самого выполняемого кода вируса. Полиморфизм различной степени сложности встречается в вирусах всех типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов.

 По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:

- файловые;

- загрузочные;

- макровирусы;

- сетевые.

5.2.1.5. Файловые вирусы

   Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие исполняемые файлы других операционных систем - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включая VxD-драйвера Windows 3.x и Windows95.

Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в отдельную группу.

5.2.1.6. Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска (BPB - BIOS Parameter Block) высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо других в зависимости от установленной версии DOS, Windows или других операционных систем. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.

Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.

5.2.1.7. Макро-вирусы

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.

5.2.1.8. Сетевые вирусы

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла. Пример сетевых вирусов – так называемые  IRC-черви.

IRC (Internet Relay Chat) — это специальный протокол, разработанный для коммуникации пользователей Интернет в реальном времени. Этот протокол предоставляет им  возможность Итрернет-"разговора" при помощи специально разработанного программного обеспечения. Помимо посещения общих конференций пользователи IRC имеют возможность общаться один-на-один с любым другим пользователем. Кроме этого существует довольно большое количество IRC-команд, при помощи которых пользователь может получить информацию о других пользователях и каналах, изменять некоторые установки IRC-клиента и прочее. Существует также возможность передавать и принимать файлы - именно на этой возможности и базируются IRC-черви. Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так называемые "IRC-черви". Принцип действия таких IRC-червей примерно одинаков. При помощи IRC-команд файл сценария работы (скрипт) автоматически посылается с зараженного компьютера каждому вновь присоединившемуся к каналу пользователю. Присланный файл-сценарий замещает стандартный и при следующем сеансе работы уже вновь зараженный клиент будет рассылать червя. Некоторые IRC-черви также содержат троянский компонент: по заданным ключевым словам производят разрушительные действия на пораженных компьютерах. Например, червь "pIRCH.Events" по определенной команде стирает все файлы на диске пользователя.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

   В дополнение к этой классификации следует сказать несколько слов о других вредоносных программах, которые иногда путают с вирусами. Эти программы не обладают способностью к самораспространению как вирусы, но способны нанести столь же  разрушительный урон.

5.2.1.9. Троянские кони (логические бомбы или временные бомбы)

К троянским коням относятся программы, наносящие какие-либо разрушительные действия, т.е. в зависимости от каких-либо условий или при каждом запуске уничтожающая информацию на дисках, "завешивающая" систему,  и т.п. В качестве примера можно привести и такой случай – когда такая программа  во время сеанса работы в Интернете пересылала своему автору идентификаторы и пароли с компьютеров, где она обитала. Большинство известных  троянских коней являются программами, которые "подделываются" под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по BBS-станциям или электронным конференциям. По сравнению с вирусами "троянские кони" не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.

5.2.2. Методы обнаружения и удаления компьютерных вирусов.

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

- Профилактика заражения компьютера

- Восстановление пораженных объектов

- Антивирусные программы

5.2.2.1. Профилактика заражения компьютера

Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение небольшого числа правил, которое позволяет значительно снизить вероятность заражения вирусом и потери каких-либо данных.

Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.

Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/Office97. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. Выводы – следует избегать контактов с подозрительными источниками