Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации icon

Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации




Скачати 273.57 Kb.
НазваГосударственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Дата конвертації24.11.2012
Розмір273.57 Kb.
ТипЛекция
1. /Модуль 2/ЛЗ4-5.doc
2. /Модуль 2/ЛЗ6 центр безопасности.doc
3. /Модуль 2/Лекция 05.doc
4. /Модуль 2/Лекция 06.doc
План введение Цель и содержание работы
Лабораторная работа Центр обеспечения безопасности (Windows Security Center) в операционной системе Windows xp sp2
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации



ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ


Кафедра систем защиты информации


Н.Н. Блавацкая


АНТИВИРУСНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ


(Лекция № 5 для студентов )


(Время - 2 часа)


Форма обучения: дневная


Лекция рассмотрена и одобрена

на заседании кафедры систем защиты информации.

Протокол № ___ от «___» ___________ 2009 года


Киев – 2009


Тема лекции:

«Антивирусные средства защиты информации в компьютерных системах»


ПЛАН

Введение

1. Общая характеристика средств нейтрализации компьютерных вирусов.

2. Классификация методов защиты от компьютерных вирусов.

3. Технологии обнаружения вирусов.

4. Режимы работы антивирусов.


ЛИТЕРАТУРА

  1. К. Касперски Записки исследователя компьютерных вирусов. – СПб.: Питер, 2005.-316с.

Введение


Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.

Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием средств защиты и противодействия со стороны операционной системы персонального компьютера.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

1. ОБЩАЯ ХАРАКТЕРИСТИКА СРЕДСТВ НЕЙТРАЛИЗАЦИИ КОМПЬЮТЕРНЫХ ВИРУСОВ

Антивирус - программное средство, предназначенное для борьбы с вирусами.

Как следует из определения, основными задачами антивируса является:

  • препятствование проникновению вирусов в компьютерную систему,

  • обнаружение наличия вирусов в компьютерной системе,

  • устранение вирусов из компьютерной системы без нанесения повреждений другим объектам системы,

  • минимизация ущерба от действий вирусов.

Наиболее распространенным средством нейтрализации вирусов являются антивирусные программы (антивирусы). Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы:

    • детекторы;

    • фаги;

    • вакцины;

    • прививки;

    • ревизоры;

    • мониторы.

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур – устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

Фаги выполняют функции, свойственные детекторам, но, кроме того, "излечивают" инфицированные программы посредством "выкусывания" вирусов из их тел. По аналогии с полидетекторами, фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

В отличие от детекторов и фагов, вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.

Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе. В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам, полученным в текущий момент.

Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.д.

Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ.

Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака, считает ее инфицированной и "оставляет в покое".

Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах.

Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Если при этом обнаруживается, что, согласно имеющейся системной информации, файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным.

Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличения длин исполняемых файлов, имеющего место при вакцинации, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует его повторного запуска.

Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы. Антивирусы рассмотренных типов существенно повышают вирусозащищенность отдельных ПЭВМ и вычислительных сетей в целом, однако, в связи со свойственными им ограничениями, естественно, не являются панацеей. В работе приведены основные недостатки при использовании антивирусов.

В связи с этим необходима реализация альтернативных подходов к нейтрализации вирусов: создание операционных систем, обладающих высокой вирусозащищенностью по сравнению с наиболее "вирусодружественной" MS DOS, разработка аппаратных средств защиты от вирусов и соблюдение технологии защиты от вирусов.


2. КЛАССИФИКАЦИЯ МЕТОДОВ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ

Проблему защиты от вирусов необходимо рассматривать в общем контексте проблемы защиты информации от несанкционированного доступа и технологической и эксплуатационной безопасности ПО в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей:

    • регламентацию проведения работ на ПЭВМ,

    • применение программных средств защиты,

    • использование специальных аппаратных средств.

При этом количество уровней защиты зависит от ценности информации, которая обрабатывается на ПЭВМ. Для защиты от компьютерных вирусов в настоящее время используются следующие методы:

Архивирование.

Заключается в копировании системных областей магнитных дисков и ежедневном ведении архивов измененных файлов.

Архивирование является одним из основных методов защиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.

Входной контроль.

Проверка всех поступающих программ детекторами, а также проверка длин и контрольных сумм вновь поступающих программ на соответствие значениям, указанным в документации. Большинство известных файловых и бутовых вирусов можно выявить на этапе входного контроля. Для этой цели используется батарея (несколько последовательно запускаемых программ) детекторов. Набор детекторов достаточно широк, и постоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распознаваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т.д.). Подозрительным является отсутствие в последних 2-3 килобайтах файла текстовых строк - это может быть признаком вируса, который шифрует свое тело.

Рассмотренный контроль может быть выполнен с помощью специальной программы, которая работает с базой данных "подозрительных" слов и сообщений, и формирует список файлов для дальнейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном режиме. При этом целесообразно использовать ускорение календаря, т.е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определенные дни недели (пятница, 13 число месяца, воскресенье и т.д.).

Профилактика.

Для профилактики заражения необходимо организовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, минимизация периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.

Ревизия.

Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыванием информации, а также периодический контроль состояния системных файлов.

Карантин.

Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Для этих целей целесообразно выделить специальную ПЭВМ, на которой не проводятся другие работы. В случае невозможности выделения ПЭВМ для карантина программного обеспечения, для этой цели используется машина, отключенная от локальной сети и не содержащая особо ценной информации.

Сегментация.

Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выполняемые программы и системные файлы. Базы данных должны хранится в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми вирусами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегментацией и основан на разделении магнитного диска (винчестера) с помощью специального драйвера, обеспечивающего присвоение отдельным логическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защищенные от записи разделы диска помещаются исполняемые программы и системные утилиты, а также системы управления базами данных и трансляторы, т.е. компоненты ПО, наиболее подверженные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которая не только позволяет разбить диск на разделы, но и организовать доступ к ним с помощью паролей.

Количество используемых логических томов и их размеры зависят от решаемых задач и объема винчестера. Рекомендуется использовать 3 – 4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлы, командный процессор, а также программы - ловушки).

Фильтрация.

Заключается в использовании программ - сторожей, для обнаружения попыток выполнить несанкционированные действия.

Вакцинация.

Специальная обработка файлов и дисков, имитирующая сочетание условий, которые используются некоторым типом вируса для определения, заражена уже программа или нет.

Автоконтроль целостности.

Заключается в использовании специальных алгоритмов, позволяющих после запуска программы определить, были ли внесены изменения в ее файл.

Терапия.

Предполагает дезактивацию конкретного вируса в зараженных программах специальными программами (фагами). Программы фаги "выкусывают" вирус из зараженной программы и пытаются восстановить ее код в исходное состояние (состояние до момента заражения). В общем случае технологическая схема защиты может состоять из следующих этапов:

    • входной контроль новых программ;

    • сегментация информации на магнитном диске;

    • защита операционной системы от заражения;

    • систематический контроль целостности информации.

Необходимо отметить, что не следует стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это существенно затрудняет работу, снижает производительность системы и, в конечном счете, ухудшает защиту из-за частой работы в открытом режиме. Анализ показывает, что только 20-30% файлов должно быть защищено от записи.

При защите операционной системы от вирусов необходимо правильное размещение ее и ряда утилит, которое можно гарантировать, что после начальной загрузки операционная система еще не заражена резидентным файловым вирусом. Это обеспечивается при размещении командного процессора на защищенном от записи диске, с которого после начальной загрузки выполняется копирование на виртуальный (электронный) диск. В этом случае при вирусной атаке будет заражен дубль командного процессора на виртуальном диске. При повторной загрузке информация на виртуальном диске уничтожается, поэтому распространение вируса через командный процессор становится невозможным.

Размещение рабочей копии командного процессора на виртуальном диске позволяет использовать его в качестве программы-ловушки. Для этого может использоваться специальная программа, которая периодически контролирует целостность командного процессора, и информирует о ее нарушении. Это позволяет организовать раннее обнаружение факта вирусной атаки.

Анализ рассмотренных методов и средств защиты показывает, что эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный программный комплекс, поддерживающий рассмотренную технологию защиты. В состав программного комплекса должны входить следующие компоненты:

  • Каталог детекторов. Детекторы, включенные в каталог, должны запускаться из операционной среды комплекса. При этом должна быть обеспечена возможность подключения к каталогу новых детекторов, а также указание параметров их запуска из диалоговой среды. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.

  • Программа-ловушка вирусов. Данная программа порождается в процессе функционирования комплекса, т.е. не хранится на диске, поэтому оригинал не может быть заражен. В процессе тестирования ПЭВМ программа - ловушка неоднократно выполняется, изменяя при этом текущую дату и время (организует ускоренный календарь). Наряду с этим программа-ловушка при каждом запуске контролирует свою целостность (размер, контрольную сумму, дату и время создания). В случае обнаружения заражения программный комплекс переходит в режим анализа зараженной программы - ловушки и пытается определить тип вируса.

  • Программа для вакцинации. Предназначена для изменения среды функционирования вирусов таким образом, чтобы они теряли способность к размножению. Известно, что ряд вирусов помечает зараженные файлы для предотвращения повторного заражения. Используя это свойство возможно создание программы, которая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.

  • База данных о вирусах и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе входного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наиболее эффективных детекторов и фагов для лечения от конкретного типа вируса.

  • Резидентные средства защиты. Отдельная компонента может резидентно разместиться в памяти и постоянно контролировать целостность системных файлов и командного процессора. Проверка может выполняться по прерываниям от таймера или при выполнении операций чтения и записи в файл.

3. ТЕХНОЛОГИИ ОБНАРУЖЕНИЯ ВИРУСОВ


Технологии, применяемые в антивирусах, можно разбить на две группы -

  • технологии сигнатурного анализа,

  • технологии вероятностного анализа.

Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов.

Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Антивирусная база - база данных, в которой хранятся сигнатуры вирусов.

Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

  • эвристический анализ,

  • поведенческий анализ,

  • анализ контрольных сумм.

Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов.

В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения.

Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций.

Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Например, для внедрения в систему, почти каждый макровирус использует один и тот же алгоритм: в какой-нибудь стандартный макрос, автоматически запускаемый средой Microsoft Office при выполнении стандартных команд (например, "Save", "Save As", "Open", и т.д.), записывается код, заражающий основной файл шаблонов normal.dot и каждый вновь открываемый документ.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.

Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Как и в предыдущем случае, возможно выделение действий, однозначно трактующихся как неправомерные - форматирование жестких дисков без запроса, удаление всех данных с логического диска, изменение загрузочной записи дискеты без соответствующих уведомлений и пр. Тем не менее, наличие действий неоднозначных - например, макрокоманда создания каталога на жестком диске, заставляет также задумываться о ложных срабатываниях и, зачастую, о тонкой ручной настройке поведенческого блокиратора.

Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы.

Анализаторы контрольных сумм (также используется название "ревизоры изменений") как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Подводя итоги обзора технологий, применяемых в антивирусах, отметим, что сегодня практически каждый антивирус использует несколько из перечисленных выше технологий, при этом использование сигнатурного и эвристического анализа для проверки файлов и именно в этом порядке является повсеместным. В дальнейшем средства, реализующие комбинацию сигнатурного и эвристического анализа, мы будем называть антивирусными сканерами.

Вторая группа технологий более разнородна, поскольку ни один из применяемых подходов не дает гарантии обнаружения неизвестных вирусов. Очевидно, что и совместное использование всех этих технологий не дает такой гарантии. На сегодняшний день лучшим способом борьбы с новыми угрозами является максимально быстрое реагирование разработчиков на появление новых экземпляров вирусов выпуском соответствующих сигнатур. Также, учитывая наличие активных вредоносных программ, необходимо не менее быстро реагировать на обнаружение новых уязвимостей в операционных системах и устанавливать соответствующие заплаты безопасности.

4. РЕЖИМЫ РАБОТЫ АНТИВИРУСОВ


Помимо используемых технологий, антивирусы отличаются друг от друга условиями эксплуатации. Уже из анализа задач можно сделать вывод о том, что препятствование проникновению вредоносного кода должно осуществляться непрерывно, тогда как обнаружение вредоносного кода в существующей системе - скорее разовое мероприятие. Следовательно, средства, решающие эти две задачи должны функционировать по-разному.

Таким образом, антивирусы можно разделить на две большие категории:

  • предназначенные для непрерывной работы - к этой категории относятся средства проверки при доступе, почтовые фильтры, системы сканирования проходящего трафика Интернет, другие средства, сканирующие потоки данных;

  • предназначенные для периодического запуска - различного рода средства проверки по запросу, предназначенные для однократного сканирования определенных объектов. К таким средствам можно отнести сканер по требованию файловой системы в антивирусном комплексе для рабочей станции, сканер по требованию почтовых ящиков и общих папок в антивирусном комплексе для почтовой системы (в частности, для Microsoft Exchange);

Как показывает практика, предотвратить возникновение проблемы гораздо проще, чем пытаться впоследствии ее решить. Именно поэтому современные антивирусные комплексы в большинстве своем подразумевают непрерывный режим эксплуатации. Тем не менее, средства периодической проверки гораздо эффективнее при борьбе с последствиями заражения и поэтому не менее необходимы.

5. АНТИВИРУСНЫЙ КОМПЛЕКС


Антивирусное ядро - реализация механизма сигнатурного сканирования и эвристического анализа на основе имеющихся сигнатур вирусов.

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

Помимо этого антивирусный комплекс дополнительно может включать в себя поведенческие анализаторы и ревизоры изменений, которые вовсе не используют антивирусное ядро.

В качестве вспомогательной утилиты антивирусный комплекс может содержать (и на практике обычно содержит) планировщик заданий.

Исходя из текущей необходимости в средствах защиты выделяют следующие типы антивирусных комплексов:

  • антивирусный комплекс для защиты рабочих станций,

  • антивирусный комплекс для защиты файловых серверов,

  • антивирусный комплекс для защиты почтовых систем,

  • антивирусный комплекс для защиты шлюзов.

Антивирусный комплекс для защиты рабочих станций


Предназначен для обеспечения антивирусной защиты рабочей станции, на которой он установлен. Состоит, как и указывалось ранее из средств непрерывной работы и предназначенных для периодического запуска, а также средств обновления антивирусных баз.

К средствам непрерывной работы относятся:

  • антивирусный сканер при доступе - антивирусный сканер, осуществляющий проверку файлов, к которым обращается операционная система (напрямую, либо опосредованно через пользователя). Для ускорения процесса работы сканера часто применяется возможность отключения средств эвристического анализа;

  • антивирусный сканер локальной почтовой системы - антивирусный сканер, предназначенный для автоматической проверки всей входящей и исходящей из системы почтовой корреспонденции до получения ее пользователем/исходящим почтовым сервером. Этот тип сканеров появился сравнительно недавно, его разработка обусловлена тем, что большинство вирусов использует для распространения электронную почту. Выделяют два вида сканеров локальной почтовой системы - использующие и не использующие привязку к почтовому клиенту. Первый тип характеризуется большим числом поддерживаемых почтовых протоколов, однако возможности практического применения сужаются ' необходимостью использовать конкретный почтовый клиент. Второй тип, напротив, поддерживает более ограниченный набор протоколов (обычно, SMTP и POP3), однако делает это для любых почтовых клиентов. Возможно использование обоих типов сканеров в рамках одного антивирусного комплекса.

Средства периодического запуска:

  • антивирусный сканер по требованию - антивирусный сканер, осуществляющий проверку файлов по запросу пользователя либо третьей программы (например, планировщика);

На практике антивирусный комплекс для рабочей станции зачастую включает еще и поведенческие блокираторы, также относящиеся к средствам непрерывной работы.

Антивирусный комплекс для защиты файловых серверов


Предназначен для обеспечения антивирусной защиты сервера, на котором установлен. Указание на файловый сервер в названии является скорее данью истории, корректней будет звучать термин "сетевой". Определение того, насколько нуждается в антивирусной защите сервер, осуществляется не только исходя из его назначения (является сервер файловым, почтовым, либо выполняет другую функцию), а и из используемой на нем платформы. Более того, зачастую именно платформа является определяющей характеристикой при выборе средств защиты сетевого сервера. Речь об этом пойдет ниже.

Отличия в составе антивирусного комплекса для файлового сервера, в сравнении с антивирусным комплексом для рабочей станции, происходят из различного назначения этих типовых узлов сети, а точнее из главного различия: рабочая станция обычно является АРМ сотрудника, тогда как сервер в качестве АРМ не используется.

Исходя из этого, антивирусный комплекс для защиты файловых серверов обычно состоит из двух ярко выраженных представителей средств непрерывного работы и периодического запуска:

  • антивирусного сканера при доступе - аналогичен сканеру при доступе для рабочей станции;

  • антивирусного сканера по требованию - аналогичен сканеру по требованию для рабочей станции;

а также средства обновления антивирусных баз.

Сканер локальной почтовой системы отсутствует по описанной выше причине.

Антивирусный комплекс для защиты почтовых систем


Еще один казус, связанный с общепринятой терминологией. Безусловно, антивирусный комплекс не предназначен для защиты почтовой системы от поражения вирусами, его назначение - препятствовать доставке зараженных сообщений пользователям сети. Как уже указывалось ранее, сегодня одним из главных средств доставки вирусов в локальную сеть является именно электронная почта. Поэтому, при наличии в локальной сети специализированного узла, обрабатывающего входящую и исходящую из сети почтовую корреспонденцию (почтового сервера), логично будет использовать средство централизованной проверки всего почтового потока на наличие вирусов. Тем не менее, термин "для защиты почтовых систем" является устоявшимся и повсеместно применяется при указании практических реализаций этого типа комплексов. Дабы не вводить читателя в противоречие с ежедневно потребляемой информацией, в дальнейшем здесь также будет использоваться приведенное выше название. Аналогичный комментарий, с поправкой на специфику работы, применим и к антивирусным комплексам для защиты шлюзов.

Антивирусный комплекс для защиты почтовых систем, как и другие антивирусные комплексы включает антивирусы обоих типов.

Средства непрерывной работы:

  • фильтр почтового потока - осуществляет проверку на наличие вирусов всего принимаемого и отправляемого почтового потока сервера, на котором установлен комплекс;

  • сканер общих папок (баз данных) - осуществляет проверку на наличие вирусов баз данных и общих папок пользователей в режиме реального времени (в момент обращения к этим папкам или базам). Может составлять единое целое с фильтром почтового потока в зависимости от реализации технологии перехвата сообщений/обращений к папкам и передачи на проверку.

Средства периодического запуска:

  • антивирусный сканер по требованию - осуществляет проверку на наличие вирусов почтовых ящиков пользователей и общих папок в случае использования таковых на почтовом сервере. Проверка осуществляется по требованию администратора антивирусной безопасности либо в фоновом режиме. Если проверка выполняется в фоновом режиме, сканер также относится к средствам периодического запуска, поскольку ничем не отличается от сканера по требованию в комплексе для рабочей станции.

Также, антивирусный комплекс для защиты почтовых систем обязательно включает средство обновления антивирусных баз. Дополнительно, для снижения нагрузки на сервер могут выделяться отдельные средства для проверки баз во время репликаций. Такие средства также относятся к средствам периодического запуска.

Антивирусный комплекс для защиты шлюзов


Антивирусный комплекс для защиты шлюза, как следует из названия, предназначен для проверки на наличие вирусов данных, через этот шлюз передаваемых.

На практике основными каналами доставки вирусов в локальную сеть являются SMTP, HTTP и FTP-потоки, следовательно, антивирусный комплекс для защиты шлюзов преимущественно включает средства непрерывной работы. Антивирусы периодического запуска используются редко, преимущественно для защиты файловой системы сервера, на котором установлен комплекс:

  • сканер HTTP-потока — предназначен для проверки данных, передаваемых через шлюз по протоколу http;

  • сканер FTP-потока — предназначен для проверки данных, передаваемых через шлюз по протоколу FTP. В случае использования FTP over HTTP FTP-запросы будут проверяться сканером HTTP-потока;

  • сканер SMTP-потока — предназначен для проверки данных, передаваемых через шлюз по SMTP.

Естественно, как и в предыдущих случаях в комплекс в обязательном порядке входит средство для обновления антивирусных баз.

Комплексная система защиты информации


Задача защиты от вредоносных программ одного компьютера, рабочей станции, практически решается весьма просто - в этом случае необходимо регулярно устанавливать заплаты безопасности, выпускаемые производителем (обычно - Microsoft) для операционной системы, установить антивирусный комплекс для защиты рабочей станции и соблюдать общие правила безопасности. Такой подход логичен и оказывается эффективным и в случае двух, трех, и даже десяти станций. Защита сетей, пусть и не очень больших, является существенно более сложной задачей, описанный выше подход не является эффективным. Здесь необходимо учитывать множество дополнительных факторов, речь о которых пойдет далее в этой главе.

При организации защиты сети нужно принимать во внимание:

  1. Трудоемкость обслуживания — установка антивирусного комплекса без удаленного управления на каждую из станций сети вынуждает администратора совершать регулярные обходы всех станций с целью проверки актуальности антивирусных баз, отсутствия вирусных инцидентов, наличия заплат безопасности и работоспособности антивирусного комплекса. Произведя банальные расчеты несложно убедиться, что в этом случае один администратор будет способен контролировать небольшое количество узлов сети, таким образом система будет экономически неэффективной.

  2. Отказоустойчивость — так или иначе временами сбоит любая система. Система антивирусной защиты, как и любая другая система обеспечения безопасности информации, должна работать непрерывно. Для максимального уменьшения времени неработоспособности системы необходимо будет сократить интервал между обходами описанной выше системы администратором. Но даже и в этом случае без подсистемы оповещения интервал неработоспособности будет достаточно велик для поражения станции вирусом. Более того, сбой может произойти не в самом антивирусном комплексе, а, к примеру, в системе обновления.

  3. Большая критичность системы — как правило, ценность информации, хранящейся в сети организации выше чем у информации, хранящейся в компьютере домашнего пользователя. Отсюда - повышенные требования к системе антивирусной защиты.

  4. Человеческий фактор. Наиболее критичный для системы антивирусной защиты момент. Как и для любой системы безопасности, пользователь должен пассивно участвовать в работе системы антивирусной защиты. Другими словами - не препятствовать, и соблюдать установленные нормы и правила. Основную массу пользователей сети можно разбить на следующие категории в проекции на антивирусную защиту и их отношению к ней:

  • не интересующиеся антивирусной защитой — Пользователь некомпетентен в вопросе, не интересуется и не хочет заниматься антивирусной защитой, мешать работе администратора антивирусной защиты не станет. К этой категории относится большинство пользователей. Наилучший с точки зрения обслуживания системы вариант;

  • интересующиеся антивирусной защитой, однако некомпетентные — Пользователь интересуется антивирусной защитой, считает своим долгом помочь организации, в которой работает. В силу своей некомпетентности иногда способны навредить больше чем пользователи, считающие что антивирусная защита мешает работе;

  • интересующиеся антивирусной защитой и компетентные — к сожалению, абсолютное меньшинство;

  • считающие, что антивирусная защита только мешает — Пользователь не интересуется антивирусной защитой и считает, что она мешает его работе. После установки антивирусного комплекса возможны попытки со стороны пользователя остановить его работу либо полностью деинсталлировать. Также возможно большое количество жалоб на существенные замедления в работе после установки антивирусного комплекса. Вообще, если пользователь такой категории знает, что на его рабочей станции установлен антивирусный комплекс - этот комплекс в обязательном порядке будет первопричиной всех проблем, которые у пользователя произойдут в будущем. В общем случае категорию следует разделять на подкатегории в зависимости от уровня подготовки пользователей - на практике от некоторых достаточно спрятать иконку антивируса в системной панели и жалобы и попытки пропадут - пользователь будет не в курсе того, что у него функционирует антивирус;

  • также необходимо упомянуть злоумышленников — пользователей сети. По приведенной выше классификации их можно отнести к наивысшей подкатегории пользователей, считающих, что антивирусная защита мешает. В дополнение к стремлению отключить антивирусную защиту, злоумышленник способен запустить в сеть вредоносную программу при наличии у него соответствующих прав.

Проектирование системы антивирусной защиты сети предполагает наличие всех перечисленных ранее категорий пользователей. Это еще раз подчеркивает усложнение задачи, стоящей перед проектировщиком системы, а учитывая важность поставленной задачи заставляет говорить о необходимости создания комплексной системы антивирусной защиты.

Комплексная система антивирусной защиты — совокупность организационных, правовых и программно-аппаратных мер и средств, направленных на обеспечение эффективной антивирусной защиты информации в локальной сети. Комплексность системы антивирусной защиты достигается контролем всех информационных потоков протекающих в локальной сети и согласованием между собой разнородных методов и средств, обеспечивающих антивирусную защиту всех элементов локальной сети.





Схожі:

Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconГосударственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Методы противодействия динамическим способам снятия защиты программ от копирования
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconИнформационное сообщение Уважаемые коллеги ! Кафедра экономики промышленности и организации производства гвуз «Украинский государственный химико-технологический университет»
Кафедра экономики промышленности и организации производства гвуз «Украинский государственный химико-технологический университет»...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconМеждународной заочной научно-практической конференции (с публикацией в сборнике научных трудов) «Современные тенденции в науке»
...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconРусское географическое общество Администрация Тамбовской области Московский государственный университет имени М. В. Ломоносова Тамбовский государственный университет имени Г. Р. Державина информационное письмо №1
Международная научная школа-конференция, посвященная 150-летию со дня рождения академика В. И. Вернадского
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТема самообразования Применение информационно-коммуникационных технологий (икт) в образовательном процессе для развития творческой инициативы, мотивации учащихся с целью повышения качества обучения
Математика для большинства представляется «обособленным предметом, а умения, развиваемые посредством математики, минимально используются...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconИнформационный менеджмент в деятельности Научно-технических библиотек и служб информации предприятий
Диссертация выполнена на кафедре информационного менеджмента фгоу впо «Санкт-Петербургский государственный университет культуры и...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconОбщие методические подходы к использованию информационных и коммуникационных технологий информатизация общества
Общие методические подходы к использованию информационных и коммуникационных технологий
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconФгбоу впо «вятский государственный гуманитарный университет» ул. Красноармейская, д. 26, г. Киров (обл.), 610002 Телефон: (8332) 67-89-75 Факс: (8332) 37-51-69 фгбоу впо «Вятский государственный гуманитарный университет»
Приглашаем вас принять участие в региональной научно-практической конференции «Инновационный потенциал молодежного самоуправления:...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТамбовский государственный университет имени Г. Р. Державина Кафедра политической экономии и мирового глобального хозяйства
Конференция проводится в целях развития научного потенциала и интеграции экономической науки с исследованием и разрешением проблем...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconКомпьютерные технологии в обучении русскому языку
Общие сведения об информационных технологиях обучения. Характеристика информационных технологий обучения. Необходимость использования...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТульский государственный университет
Каждому участнику будет выслан в электронном виде сборник по итогам конференции с присвоением isbn
Додайте кнопку на своєму сайті:
Документи


База даних захищена авторським правом ©te.zavantag.com 2000-2017
При копіюванні матеріалу обов'язкове зазначення активного посилання відкритою для індексації.
звернутися до адміністрації
Документи