ловиях, это предусмотреть перенесение командного процессора и не-
которых утилит на электронный диск. При размере электронного диска
в 384K, как это имеет место на большинстве поставляемых в нашу
страну AT, на электронный диск можно записать помимо командного
процессора PKZIP и Norton Commander. При этом еще остается возмож-
ность распаковывать небольшие файлы на электронный диск. При от-
сутствии электронного диска даже копирование отдельного файла с
дискеты на дискету представляет определенную проблему. Для этой
цели следует задавать команду:
copy a:\command.com b:
Несмотря на то, что диск B физически отсутствует, операционная
система правильно выполнит команду, позволяя после считывания фай-
ла вынуть исходную дискету и вставить новую. Таким же образом сле-
дует поступать при копировании больших файлов. Правда в этом слу-
чае удобнее пользоваться утилитой XCOPY.
10.7. Некоторые организационные меры защиты
"Как всякий человек на своем месте,
как подчиненные его самого, Лужин
ругал высшее начальство, считая,
что там сидят дураки, бюрократы,
самодуры, которые отдают приказы,
совершенно не считаясь с их прак-
тической выполнимостью"
В.Войнович "Жизнь и
необычайные приключения
солдата Ивана Чонкина"
Хотя в данной работе рассматриваются, в основном, технические
аспекты защиты от компьютерных вирусов, представляется целесооб-
разным кратко остановиться и на организационных методах, поскольку
они, по сути, являются одной из составных частей защиты, наряду с
техническими и программными методами. Как уже указывалось, незави-
симо от того, насколько хорошо разработаны программные средства
защиты, их эффективность во многих случаях непосредственно зависит
от правильности действий пользователя, действий, в которых возмож-
ны не только ошибки, но и "несознательность" или даже злой умысел.
Например, если один из сотрудников регулярно запускает где-то пе-
реписанные игровые программы на компьютере с винчестером, то шансы
на то, что поставленная программная защита не сможет предотвратить
заражение, безусловно отличны от нуля.
Организационные меры защиты должны прежде всего соответствовать
здравому смыслу. Обычно наблюдаются лишь крайности: или практичес-
ки полное отсутствие регламентации доступа, или административ-
но-командный "беспредел", граничащий с абсурдом, и делающим нор-
мальную работу невозможной (типа "пребывание сотрудников в корпусе
... после 17.00 запрещено"). Особенно характерным примером послед-
него является регламентация режима работы в предпраздничные,
праздничные и выходные дни, когда большинство институтов было зак-
рыто и опечатано исключительно по соображениям "как бы чего не
вышло". Или, скорее, сама обстановка уравниловки приводила к тому,
что работа в "неположенное" время рассматривалась как что-то, гра-
ничащее с "крамолой".
В то же время в области административных мер, как и везде, важно
найти оптимум между полным предотвращением доступа к ПЭВМ и анар-
хией. При этом, естественно, организационные меры должны предпри-
ниматься только с учетом выявленных "точек проникновения" и нали-
чия информации, подлежащей защите. Следует также отметить, что
косность аппарата ведет к тому, что принятые в ответ на определен-
ную ситуацию административные меры имеют тенденцию применяться и
после того, как ситуация полностью изменилась. Поэтому необходим
периодический пересмотр административных мер регламентации доступа
и приведение их в соответствие со сложившейся ситуацией.
Среди спектра организационных мер отметим следующие, представля-
ющиеся автору наиболее важными: общее административное регулирова-
ние доступа, включая систему паролей и сегментирование зон досту-
па; обучение персонала; обеспечение физической безопасности
компьютера и магнитных носителей; выработку правил архивирования;
определение файлов, хранимых в шифрованном виде.
Общее административное регулирование доступа должно обеспечивать
приемлемую степень защиты от использования компьютеров с ценными
данными случайными лицами. Если человек оставляет на улице автомо-
биль с незапертыми дверцами и вставленным ключем зажигания, то ес-
ли его угонят, определенная доля вины будет лежать на этом челове-
ке. Ситуация с компьютерами аналогична. Помимо опасности заражения
вирусами, незаконное копирование или модификация конфиденциальной
информации может нанести значительный вред организации, не обеспе-
чившей приемлемый уровень контроля за контингентом пользователей
соответствующего компьютера.
Если говорить о системе паролей, обеспечиваемых рядом систем,
например Advanced Disk Manager, то с организационной точки зрения
важно, чтобы пароли были достаточно длинными, с целью предотвраще-
ния их случайного угадывания. Простым и в то же время достаточно
хорошо зарекомендовавшим себя методом получения таких паролей яв-
ляется комбинирование пароля из двух хорошо знакомых слов. Напри-
мер, пароли "Коля" и 1950 каждый в отдельности являются весьма
уязвимыми, однако их комбинация типа К1о9л5я0 уже гораздо труднее
дешифруется и не так легко может быть запомнена путем подглядыва-
ния "через плечо". Кроме того, пароли должны периодически менять-
ся, причем для пользователей, которые не желают делать это добро-
вольно, сответствующую "услугу" должен оказывать системный
программист. Случаи, когда пользователи по нескольку лет пользуют-
ся одним и тем же паролем, безусловно, должны быть исключены.
Кратко рассмотрим вопрос об обучении персонала. На семинарах по
защите от компьютерных вирусов часто задают вопрос о том, как пре-
дотвратить заражение компьютера вирусами. Главным условием этого
следует признать соответствующий уровень обучения сотрудников и,
конечно, уровень их лояльности по отношению к данной организации.
Если организацию можно определить как группу людей, стремящихся
достичь определенной цели, то в успехе, разумеется, рещающую роль
играет уровень их компетентности, опыт и личные качества. Опыт по-
казывает, что чем менее знаком данный сотрудник с компьютерами и
чем менее он дисциплинирован, тем большую опасность он представля-
ет с точки зрения возможности заражения ПЭВМ компьютерными вируса-
ми. Как уже указывалось выше, сотрудник, запускающий на компьютере
с винчестером новую игру, недавно полученную у приятеля, безуслов-
но подвергает компьютер определенному риску, степень которого, ко-
нечно, зависит от уровня его квалификации, наличия резидентных
средств защиты, а также применения им различных средств тестирова-
ния нового программного обеспечения на наличие компьютерных виру-
сов.
Здесь следует отметить, что само по себе разграничение доступа
не является панацеей. Представим себе гипотетическую ситуацию,
когда один из пользователей, обладающий минимальными правами дос-
тупа (например, для которого винчестер доступен только в режиме
чтения) столкнулся с зараженной игрой, которая стала работать нес-
колько "странно". Он, естественно, обращается за помощью к систем-
ному программисту, который будучи перегруженным, сначала решает
посмотреть, что происходит непосредственно на машине. Для этого он
входит в систему со своим паролем (и, соответственно, максимальным
уровнем доступа) и "для пробы" один раз запускает эту игру. Не
требуется объяснять, к какому результату приведет такой "пробный"
запуск. Вместо системного программиста в роли "троянского коня"
может выступить практически любой более компетентный (и обладаю-
щий, соответственно, большими правами доступа) пользователь, к ко-
торому обратятся с той же просьбой.
И, наконец, важным условием эффективности любых мер по защите
информации является обеспечение физической безопасности компьютера
и дискет. Соотношение между ценой персонального компьютера и сред-
ней зарплатой говорит само за себя. Неслучайно, кражи персональных
компьютеров в нашей стране давно перестали быть редкостью. Раскры-
ваемость этого вида преступлений невелика. Например из двух укра-
денных в КИИГА за 1990 г. компьютеров типа PC AT не найден ни
один. Поэтому этим вопросам необходимо уделять достаточное внима-
ние. В частности, помещения, где установлены компьютеры должны
быть обязательно оборудованы электронной системой сигнализации. К
сожалению практика показала, что электронные системы сигнализации
в ряде случаев устанавливаются некачественно, не перекрывая всех
возможных путей проникновения в помещение. Поэтому их рекомендует-
ся дублировать инфракрасными датчиками, перекрывающими непосредс-
твенно рабочую зону, где установлены ЭВМ. При отсутствии инфрак-
расных датчиков, имеет смысл устанавливать наиболее ценные
персональные компьютеры на металлические столы со специальными
закрываемыми нишами для блоков или снимаемым металлическим колпа-
ком. Кстати, установка компьютера на прочном металлическом столе
полезна и с точки зрения предотвращения повреждения винчестера от
случайных толчков и колебаний. Неслучайно Роджер Олфорт в статье
"Десять советов по эксплуатации накопителей на жестких магнитных
дисках" (Мир ПК, 1990 No. 3) пишет:
"... накопители на жестких дисках не любят грубого обращения.
Даже такие, на первый взглыд, безобидные факторы, как книга, бро-
шенная на стол, или случайные толчки стола прохолящими коллегами,
могут привести к тому, что головки чтения/записи накопителя чирк-
нут по поверхности дисков и испортят данные. Чтобы свести к мини-
муму вероятность подобной ситуации, рекомендуется устанавливать
компьютер на прочный стол. Лично я работаю на стальном столе,
прочном, как танк."
Учитывая, что стоимость изготовления такого стола существенно
ниже стоимости компьютера, данная рекомендация заслуживает внима-
ния. Да и простое прикрепление системного блока к столу на котором
он установлен в наших условиях совсем не помешает.
Аналогичные замечания относятся к дискетам. Дискеты с ценной ин-
формацией следует хранить в сейфе, а не в ящике письменного стола.
Конфиденциальная информация должна шифрововаться. В рамках расс-
матриваемой темы это прежде всего относится к зараженным програм-
мам, образцам вирусов, а также материалам их дизассемблирования и
реконструкции.
10.8. Юридические методы защиты от компьютерных вирусов
"Oleynikoz S., 1990"
Cтрока, содержащаяся в вирусе RC-600
"Вы не глядите, что Серега все кивает,
он соображает, все понимает !
что молчит - так это от волненья,
от осознанья и просветленья.
Не запирайте, люди ! ..."
В.Высоцкий, Милицейский протокол
Антропоморфизм в терминологии ("заражение", "вирус") не должен
заслонять суть дела - вирусы это специальный метод саботажа с по-
мощью преднамеренно созданных для этой цели программ. Хотя вопросы
юридической ответственности лиц, занимающихся созданием и расп-
ространением вирусов являются достаточно сложными, однако они ус-
пешно решаются в Северной Америке и западноевропейских странах.
Уголовная ответственность за создание и распространение компьютер-
ных вирусов принята сейчас в большинстве западных стран. При этом
можно выделить следующие действия, подпадающие под существующий
уголовный и административный кодекс: изменение данных (удаление,
