Классификация методов анализа безопасности программного обеспечения.

Архивирование: резервирование таблицы FAT при каждой перезагрузке компьютера, ежедневное ведение архивов измененных файлов. Это самый важный, основной метод защиты от вирусов. Остальные методы не могут заменить ежедневное архивирование, хотя и повышают общий уровень защиты.

Сегментация: использование Advanced Disk Manager (ADM) или Disk Manager для разбиения диска на "не­потопляемые отсеки" - зоны с установленным атрибутом READ ONLY. Ис­пользование для хранения ценной информации разделов, отличных от C или D. Хранение исполняемых программ и баз данных в разных разделах винче­стера. Свертка неиспользуемых каталогов в архивы, что позволяет также сэкономить значительное место на винчестере.

Ревизия: ежедневный контроль целостности исполняемых файлов и си­стемных блоков с помощью Adinf или аналогичного ревизора.

Входной контроль: проверка поступающих программ батареей детекторов и фагов, проверка соответствия длины и контрольных сумм в сертификате длинам и контрольным суммам полученных программ.

Профилактика: систематическое использование Vformat для разметки дискет; профилактическое вакцинирование поступающих дискет; работа на "чужих" компьютерах с дискетами, защищенными от записи, минимизация периодов доступности дискеты для записи, разделе­ние "общих" дискет между конкретными пользователями и разделение пере­даваемых и поступающих дискет, раздельное хранение вновь полученных программ и эксплуатировавшихся ранее, хранение неиспользуемых программ на "винчестере" в архивированном виде.

Карантин: каждая новая программа, полученная без контрольных сумм, должна проходить карантин, т.е. проверяться на известные виды компью­терных вирусов, и в течение определенного времени за ней должно быть организовано наблюдение. Использование специального раздела для хранения вновь поступивших программ в сочетании со специальным именем пользователя в ADM (Advanced Disk Manager), причем для этого пользователя все осталь­ные разделы должны быть либо невидимы, либо иметь статус READ ONLY.

Фильтрация: применение программ-сторожей для обнаружения попыток вы­полнить несанкционированные действия. Использование атрибута READ ONLY для всех исполняемых файлов в сочетании с соответствующим резидентным "усилителем" этого атрибута.

Вакцинирование: специальная обработка файлов, дисков, каталогов, за­пуск резидентных программ-вакцин, имитирующих сочетание условий, кото­рые используются данным типом вируса для определения, заражена уже программа, диск, компьютер или нет, т.е. обманывающих вирус.

Автоконтроль целостности: применение резидентных программ подсчета контрольных сумм перед запуском программ, использование в программе специальных алгоритмов, позволяющих после запуска программы опреде­лить, были внесены изменения в файл, из которого загружена программа, или нет.

Терапия: дезактивация конкретного вируса в зараженных программах специальной программой-антибиотиком или восстановление первоначального состояния программ путем "выкусывания" всех экземпляров вируса из каж­дого зараженного файла или диска с помощью программы-фага.

Методы анализа безопасности программ делятся на две категории: контрольно-испытательные и логико-аналитические. На данное время любой из этих методов имеет существенный недостаток – исследование безопасности проводится лишь относительно некоторого подмножества разрушающих программных средств (РПС) - вирусы, программные закладки и т.д. С практической точки зрения – с точки зрения обеспечения безопасности конкретной вычислительной системы контрольно-испытательные методы обладают рядом преимуществ, связанными с их привязкой к конкретной вычислительной системе и программе, а также с их надежностью в смысле отсутствия ошибок, заключающихся в объявлении безопасной программы, на самом деле являющейся РПС. Однако затраты, необходимые для организации процесса тестирования, являются преградой для их применения, за исключением тех вычислительных систем, безопасность которых особенно критична.