Категория QD – изменение компьютерных данных, к этой категории относятся вирусы.
QDL – логическая бомба.
QDT – троянский конь.
QDV – компьютерный вирус.
QDW – компьютерный червь.
QDZ – прочие виды изменения данных.
Логическая бомба – осуществляет тайное встраивание в программу (как правило, определённые команды). Срабатывает лишь однажды, при определённых условиях. Троянский конь – осуществляет введение в чужую программу таких команд, которые позволяют осуществлять иные, непланируемые владельцем функции, но при этом сохраняется прежняя работоспособность программы. Компьютерный вирус – специально написанная программа, которая может приписывать себя к другим программам, размножаться для выполнения различных нежелательных действий для компьютера. Компьютерный червь – представляет собой специальную самостоятельно распространяющуюся программу, которая осуществляет изменение данных и программ (без ведома их владельца) путём распространения через компьютерную сеть.
Ежегодный общемировой ущерб от вирусов составляет от 8 до 12 млрд. долларов. Ежедневно в мире создаётся от 2 до 10 новых вирусов. Наиболее известными приёмами борьбы с вирусами являются следующие:
1) Резервирование FAT – один из наиболее простых и эффективных методов защиты от вирусов. Заключается в ежедневном архивировании изменений FAT.
2) Профилактика. Раздельное хранение вновь полученных и уже эксплуатируемых программ. Разбиение дисков на зоны с установленным режимом «только для чтения». Хранение неиспользуемых программ в специальных архивах. Использование специальной инкубационной зоны для записи новых программ. Систематическая проверка BOOT-секторов.
3) Анализ. Регулярная ревизия вновь полученных программ специальными средствами. Запуск в контролируемой среде. Проверка программ компетентными специалистами на известные виды компьютерных вирусов. Организация наблюдения за программами в течение длительного времени.
4) Фильтрация – использование лицензионных резидентных программ для обнаружения попыток выполнять несанкционированные действия.
5) Вакцинирование. Специальная обработка файлов, дисков, каталогов. Запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения заражения программы или всего диска.
6) Терапия – деактивация конкретного вируса в заражённых программах с помощью специальной антивирусной программы или восстановление начального состояния программы путём уничтожения вирусов в каждом из заражённых файлов или дисков.
Для борьбы с различными видами вирусов применяются антивирусные программы. В настоящее время можно выделить три базовые области применения антивирусных программ в качестве средства защиты информации:
1) Автоматизированные рабочие места.
2) Серверы, обслуживающие локальные сети в организациях.
3) Крупные почтовые сети компаний и провайдеров.
Основные причины неадекватности антивирусной защиты существующим угрозам:
1) Отсутствие единой скоординированной системы управления.
2) Установка разрозненного антивирусного программного обеспечения.
3) Отсутствие технической поддержки поставленного программного обеспечения, в первую очередь по части обновления баз данных сигнатур (образцов вирусов).
4) Отсутствие системы планирования, управления и ликвидации последствий вирусных атак.
5) Отсутствие связи с производителями антивирусного программного обеспечения при появлении новых вирусов.
6) Использование нелицензированных программ.
Системы антивирусной защиты должны реализовать следующие основные функции:
1) Регулярное обновление программного обеспечения и баз образцов вирусов.
2) Управление распространением и контроль за эксплуатацией антивирусного программного обеспечения.
3) Контроль за работой антивирусной системы антивирусной защиты в целом на уровне подразделений.
4) Управление локальными группами пользователей, обновление антивирусного обеспечения и баз данных образцов вирусов конечных пользователей.
5) Обеспечение автоматической антивирусной защиты данных пользователей.
По уровням объектов защиты система антивирусной защиты должна обеспечивать:
1) Защита подключения к Интернету или к сетям поставщиков услуг связи (межсетевые экраны и почтовые шлюзы).
2) Защита файл-серверов, серверов баз данных и серверов систем коллективного использования, поскольку они содержат наиболее ценную информацию.
3) Защита рабочих станций.
По этой системе антивирусная защита должна обеспечивать:
1) Возможность управления антивирусной защитой с одного рабочего места (рабочая станция администратора или руководителя службы защиты).
2) Ведение регистрационных журналов.
3) Отправка оповещений о происходящих событиях, нежелательных с точки зрения антивирусной защиты.
4) Функционирование в штатном режиме эксплуатации защищаемого объекта без нарушения логики и производительности работы других эксплуатируемых приложений.
5) Регулирование уровня нагрузки от антивирусной защиты, контроль за использованием вычислительных ресурсов.
6) Непрерывный антивирусный контроль исполняемых файлов, макросов, документов, в том числе при записи файлов на диск и при их открытии на рабочих станциях.
7) Автоматическое обновление баз образцов вирусов на рабочих станциях.
Программы и технические компоненты антивирусной защиты должны обеспечивать формирование вычислительной среды, которая удовлетворяет следующим принципам:
1) Надёжность.
2) Масштабируемость.
3) Открытость.
4) Однородность.
