Персональные ЭВМ

­Обеспечение безопасности системы


­Обеспечение безопасности системы. Основной целью явля­ется обнаружение, предотвращение и (или) уничтожение потен­циальной опасности «агрессивного» ПО.

Теоретически можно определить, какие программы могут быть потенциально опасными, а затем разработать методы и программы борьбы с ними.

Существует несколько основных способов обнаружения опас­ных программ:

найти код в программе, соответствующий известному опас­ному коду;

протестировать программу на возможность опасных действий;

запустить программу на тестовой ПЭВМ, прежде чем ко­пировать на рабочую ПЭВМ;

проверить соответствие программы эквивалентной надежной.

Первый способ применяется ограниченно, как правило, лишь при поисках известного вируса с помощью типовых программ, проверяющих исполняемые файлы на наличие известных бло­ков кодов, существующих в различных вирусах. В частности, некоторые программы ищут текстовые строки, выдающие типо­вые примитивные вирусы, например «Привет», «Ха-ха» и др.

Второй способ связан теоретически с созданием эмулятора ПЭВМ, который сможет протестировать программу на наличие потенциальной опасности. Из-за значительного времени, тре­буемого на тестирование (обусловленного перебором всевозмож­ных значений переменных, существенных для данной програм­мы). этот подход является непрактичным. Кроме того, остает­ся потенциальная опасность.

Третий способ является наиболее приемлемым, так как обес­печивает тестирование программ на отдельной «чистой» ПЭВМ для нескольких рабочих ПЭВМ Тестовая процедура реализу­ет смену времени и даты в ПЭВМ, например, такие «известные» дать|, как 1 апреля, I января, пятница 13-е, 25 декабря и т. д. После запуска тестируемой программы проверяются Обращения к НМД, изменения размеров файлов, потеря данных на магнитн1>1 носителях и т. д.

При сравнении «надежной» версии программы с рабочей версией, находящейся на НМД, обеспечивается периодическое сравнение содержимого- дискет и НМД. Однако этот метод имеет следующие недостатки:; программы сравнения файлов работают медленно и не дают возможности сравнивать целые напеты программ; .содержимся некоторых исполняемых файлов меняется в процессе нормальной эксплуатации, и поэтому вер­сии на архивной дискете и НМД будут различаться.

Обеспечение безопасности ПЭВМ является очень сложной проблемой, а ущерб, причиненный активностью вирусов, мо­жет быть значительным. Остановка распространения вируса, восстановление потерянных данных и рабочего состояния си­стемы являются достаточно трудоемкими. Например, приоста­новление прогрессирования вируса «bona fide» в некоторых случаях потребовало от сотни до тысячи человеко-часов. При­мерно столько же было затрачено на устранение последствий вируса.

Альтернативным подходом к борьбе с «агрессивным» ПО является системное управление, основанное на интеграции, на­дежности и безопасности всей инфраструктуры ПЭВМ, а не только отдельных ПЭВМ и изолированных сетей ПЭВМ.

Применение при работе с ПЭВМ механизма контроля ка­чества используемого ПО, включающего особую программную оболочку системы, постоянно тестирующую состояние эксплуа­тируемых программных продуктов;

использование вместе с оболочкой контролирующей про­граммы, средств защиты от несанкционированной записи на диск, средств восстановления и др.

При тестировании ОС, ППП и данных обычно проверяют­ся имя файла, его размер и содержимое на соответствие с этими параметрами у предыдущих версий. Таким образом обес­печивается оценка качества программы перед ее запуском и предотвращается выполнение потенциально вредных программ. Эти проверки могут выполняться при загрузке во время, опре­деленное администратором системы, или, что наиболее эффек­тивно, непосредственно перед загрузкой программы в память.

При введении новой программы пользователь может дать оболочке команду занести ее в список программ или разре­шить запуск программы только один раз. Наличие в програм­ме вируса и попытка его размножения будут обнаружены про­граммным обеспечением запуска от несанкционированной запи­си на диск. Таким образом, размножение вируса останавли­вается в самом начале и определяется его источник.

В распределенных ОС типа Ultrix с развитыми сетевыми возможностями вирус может распространяться по сети в виде данных, а не программ. Из-за недостаточности сетевых воз­можностей такой способ распространения вирусов в настоящее время практически не известен.

Комментарии закрыты