Применение антивирусных средств защиты информации. Средства и методы антивирусной защиты
План:
Введение……………………………………………………………………….…..3
Сканеры………………………………………………………….…6
CRC-сканеры…………………………………………………..…..7
Блокировщики……………………………………………………..8
Иммунизаторы……………………………….………………….…9
Понятие антивирусных средств защиты информации…………...…5
Классификация антивирусных программ……………………...…….6
Основные функции наиболее распространенных антивирусов…..10
Антивирус Dr. Web………………………………………...…10
Антивирус Касперского……………………………………...10
Антивирус Antiviral Toolkit Pro………………………………12
Norton AntiVirus 2000…………………………………………13
Заключение……………………………………………………………………….15
Список используемой литературы……………………………………………...16
Введение.
Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, сторожа, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость;
Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств);
Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства;
Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.
В своей работе я буду рассматривать одну из программных средств защиты информации – антивирусные программы. Так, целью моей работы является проведение анализа антивирусных средств защиты информации. Достижение поставленной цели опосредуется решением следующих задач:
Изучение понятия антивирусных средств защиты информации;
Рассмотрение классификации антивирусных средств защиты информации;
Ознакомление с основными функциями наиболее популярных антивирусов.
Понятие антивирусных средств защиты информации.
Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).
Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.
Классификация антивирусных программ.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.
2.1 Сканеры.
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые “маски”. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик - вирусов. Сканеры также можно разделить на две категории - “универсальные” и “специализированные”. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Сканеры также делятся на “резидентные” (мониторы, сторожа), производящие сканирование “на-лету”, и “нерезидентные”, обеспечивающие проверку системы только по запросу. Как правило, “резидентные” сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как “нерезидентный” сканер способен опознать вирус только во время своего очередного запуска. С другой стороны резидентный сканер может несколько замедлить работу компьютера в том числе и из-за возможных ложных срабатываний.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам -относительно небольшую скорость поиска вирусов. Наиболее распространены в России следующие программы: AVP - Касперского, Dr.Weber – Данилова, Norton Antivirus фирмы Semantic.
2.2 CRC -сканеры.
Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту “слабость” CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Наиболее используемые в России программы подобного рода- ADINF и AVP Inspector.
2.3 Блокировщики.
Антивирусные блокировщики - это резидентные программы, перехватывающие “вирусо-опасные” ситуации и сообщающие об этом пользователю. К “вирусо-опасным” относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно “выползает неизвестно откуда”. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (например, неизвестно ни об одном блокировщике для Windows95/NT - нет спроса, нет и предложения).
Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера (“железа”). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает “ложное срабатывание” защиты.
Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.
2.4 Иммунизаторы.
Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.
Основные функции наиболее распространенных антивирусов.
Антивирус Dr. Web.
Dr. Web - старый и заслуженно популярный в России антивирус, уже несколько лет помогающий пользователям в борьбе с вирусами. Новые версии программы (DrWeb32) работают в нескольких операционных системах, защищая пользователей от более чем 17000 вирусов.
Набор функций вполне стандартный для антивируса - сканирование файлов (в том числе сжатых специальными программами и заархивированных), памяти, загрузочных секторов жестких дисков и дискет. Троянские программы, как правило, подлежат не излечению а удалению. К сожалению, почтовые форматы не проверяются, поэтому сразу после получения электронного письма нельзя узнать, нет ли во вложении вируса. Вложение придется сохранить на диск и проверять отдельно. Впрочем, поставляемый с программой резидентный монитор "Spider Guard" позволяет решить эту задачу "на лету".
Dr. Web - одна из первых программ, в которой был реализован эвристический анализ, который позволяет обнаруживать вирусы, не занесенные в антивирусную базу. Анализатор обнаруживает в программе вирусоподобные инструкции и помечает такую программу как подозрительную. Антивирусная база обновляется через Интернет одним нажатием кнопки. Бесплатная версия программы не проводит эвристического анализа и не лечит файлы.
Антивирус Касперского.
Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.
Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.
Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.
Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.
Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.
Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.
Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.
Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.
Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.
Антивирус Antiviral Toolkit Pro.
Antiviral Toolkit Pro - российский продукт, заслуживший популярность за рубежом и в России, благодаря широчайшим возможностям и высокой надежности. Имеются версии программы для большинства популярных операционных систем, антивирусная база насчитывает около 34000 вирусов.
Существует несколько вариантов поставки - AVP Lite, AVP Gold, AVP Platinum. В наиболее полной версии поставляется три продукта - сканер, резидентный монитор и центр управления. Сканер позволяет проверять файлы и память на наличие вирусов и "троянцев". При этом проверяются упакованные программы, архивы, почтовые базы данных (папки Outlook и т.д.) и осуществляется эвристический анализ для поиска новых вирусов, не занесенных в базу данных. Монитор "на лету" проверяет каждый открываемый файл на вирусы и предупреждает о вирусной опасности, одновременно блокируя доступ к зараженному файлу. Центр управления позволяет по расписанию проводить антивирусную проверку и обновлять базы данных через Интернет. В демонстрационной версии отсутствует возможность лечения зараженных объектов, проверка пакованных и архивных файлов, эвристический анализ.
Norton AntiVirus 2000.
Norton AntiVirus сделана на основе другого популярного продукта - персонального брандмауэра AtGuard (@guard) от WRQ Soft. В результате приложения к нему технологической мощи Symantec, получился интегрированный продукт, обладающий существенно расширенной функциональностью. Ядром системы по-прежнему является брандмауэр. Он весьма эффективно работает без настройки, практически не мешая в повседневном использовании сети, но блокируя попытки перезагрузить или "завесить" компьютер, получить доступ к файлам и принтерам, установить связь с троянскими программами на компьютере.
Norton AntiVirus - единственный брандмауэр из рассмотренных, который реализует возможности этого метода (которого) защиты на 100%. Осуществляется фильтрация всех видов пакетов, путешествующих по сети, в т.ч. служебных (ICMP), правила для работы брандмауэра могут учитывать, какое именно приложение работает с сетью, что за данные передаются и на какой компьютер, в какое время суток это происходит.
Для сохранения конфиденциальных данных, брандмауэр может блокировать отправку веб-серверам адреса электронной почты, типа браузера, возможна также блокировка cookies. Фильтр конфиденциальной информации предупреждает о попытке переслать в сеть в незашифрованном виде информацию, которую пользователь ввел и пометил, как конфиденциальную.
Активное содержимое веб-страниц (Java-апплеты, сценарии и т.д) также может блокироваться с помощью Norton AntiVirus - фильтр содержимого может вырезать небезопасные элементы из текста веб-страниц до того, как они попадут в браузер.
В качестве дополнительного сервиса, не связанного напрямую с вопросами безопасности, Norton AntiVirus предлагает очень удобный фильтр рекламных баннеров (эти надоедливые картинки попросту вырезаются из страницы, что ускоряет ее загрузку), а также систему родительского контроля. Запретив посещение определенных категорий сайтов и запуск отдельных видов интернет-приложений, можно быть достаточно спокойным по поводу содержимого сети, которое доступно детям.
Помимо возможностей брандмауэра, Norton AntiVirus предлагает пользователю защиту программы Norton Antivirus. Это популярное антивирусное приложение с регулярно обновляемыми антивирусными базами позволяет довольно надежно обнаруживать вирусы на самых ранних этапах их появления. Сканированию на вирусы подвергаются все закачиваемые из сети файлы, файлы, вложенные в электронную почту, активные элементы веб-страниц. Помимо этого, в Norton Antivirus есть антивирусный сканер и монитор, которые обеспечивают общесистемную защиту от вирусов без привязки к наличию доступа в сеть.
Заключение:
Знакомясь с литературой, я достиг поставленной перед собой цели и сделал следующие выводы:
Защита информации и информационная безопасность (2)
Реферат >> Информатика... защиты информации (правовая защита информации , техническая защита информации , защита экономической информации и т.д.). Организационные методы защиты информации и защита информации в России обладают следующими свойствами: Методы и средства защиты информации ...
Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации);
не существует антивирусов, гарантирующих стопроцентную защиту от вирусов;
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.
...Существует три рубежа защиты от компьютерных вирусов:
o предотвращение поступления вирусов;
o предотвращение вирусной атаки, если вирус всё-таки поступил на компьютер;
o предотвращение разрушительных последствий, если атака всё-таки произошла.
Существует три типа реализации защиты:
§ программные методы защиты;
§ аппаратные методы защиты;
§ организационные методы защиты.
К средствам антивирусной защиты относятся:
o резервное копирование данных;
o использование средств аппаратной защиты;
o использование антивирусных программ.
Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по причине заражения вирусом жёсткие диски переформатируют и подготавливают к новой эксплуатации. На «чистый» отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под её управлением устанавливают все необходимое программное обеспечение с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.
Резервные копии должны храниться отдельно от компьютера. Так, например, резервирование информации на отдельном жёстком диске того же компьютера только создаёт иллюзию безопасности. Относительно новым и достаточно надёжным приёмом хранения ценных, но неконфиденциальных данных, является их хранение в web-папках на удалённых серверах в сети Интернет. Есть службы, бесплатно представляющие пространство (до нескольких мегабайт) для хранения данных пользователя.
Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают необходимость создания не менее двух резервных копий, сохраняемых в разных местах. Между копиями осуществляют ротацию.
К другим организационным мерам защиты от вирусов относится соблюдение следующих правил:
Использование только лицензионного программного обеспечения, полученного из надёжных источников;
Ограничение круга лиц, имеющих доступ к компьютеру;
Соблюдение правил безопасности при работе в сети Интернет;
Обязательная проверка дискет с помощью антивирусной программы перед использованием;
Периодическое сканирование жесткого диска с помощью антивирусной программы;
Своевременное регулярное обновление антивирусных баз.
Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто это будет пытаться сделать: компьютерный вирус, злоумышленник или неаккуратный
пользователь.
Существует достаточно много программ антивирусной защиты. Наиболее известные: Norton Antivirus фирмы «Symantec» и АVP (AntiViral Toolkit Pro) лаборатории Касперского. Они представляют следующие возможности.
1. Создание образа жёсткого диска на внешних носителях (например, на гибких дисках). В случае выхода из строя данных в системных областях жёсткого диска сохранённый образ диска может позволить восстановить большую часть данных. Это же средство может защитить от утраты данных при аппаратных сбоях и при неаккуратном форматировании жёсткого диска.
2. Регулярное сканирование жёстких дисков в поисках компьютерных вирусов. Сканирование обычно выполняется автоматически при каждом включении компьютера и при размещении внешнего диска в считывающем устройстве.
При сканировании следует иметь в виду, что антивирусная программа ищет вирус путём сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надёжной работы антивирусной программы следует регулярно обновлять антивирусные базы. Например, разрушительные последствия атаки вируса W95.CIH.1075 («Чернобыль»), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999г., были связаны не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновлении этих средств. Разработчики антивирусного пакета АVP рекомендуют обновлять базы один раз в две недели и считают допустимой периодичность обновления один раз в три месяца. Базы Norton Antivirus обновляются один раз в месяц.
3. Контроль изменения размеров и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры заражённых файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя.
4. Контроль обращений к жёсткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе обращены на модификацию данных, записанных на жёстком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.
Основные задачи антивирусов
· Сканирование файлов и программ в режиме реального времени.
· Сканирование компьютера по требованию
· Сканирование интернет-трафика
· Сканирование электронной почты
· Защита от атак враждебных веб-узлов
· Восстановление поврежденных файлов (лечение).
Средства антивирусной защиты
Средства антивирусной защиты предназначены для проверки файлов и памяти компьютера на наличие известных и новых вредоносных программ, лечения зараженных объектов и удаления угроз.
Первые компьютерные вирусы и антивирусные утилиты появились еще в 70-е годы прошлого века. В то время вирусы были «экспериментальными» - не имели вредоносного функционала и создавались в рамках исследований самовоспроизводящихся программ. Но скоро проявилось и их деструктивное действие, которое на тот момент заключалось лишь в том, что они активно самокопировались и занимали ценное дисковое пространство и другие ресурсы. Антивирусные программы тогда были нацелены на нейтрализацию одного-двух специфических вирусов, а не антивирусную защиту в целом.
В 80-е годы были зафиксированы первые массовые вирусные эпидемии. Вирусописатели стали распространять вредоносное ПО, способное уничтожать ценные документы, программы и системные файлы. Средства антивирусной защиты начали бурно развиваться, хотя в то время они ещё представляли собой главным образом примитивные сканеры и иммунизаторы, а распространенность антивирусного софта была очень низкой.
Виды антивирусной защиты
За более чем двадцать лет, минувших с той поры, антивирусные продукты прошли огромный путь развития. Современные антивирусы - это комплексные программные пакеты, как правило, содержащие несколько взаимосвязанных и взаимодополняющих модулей, нацеленные на борьбу со всем спектром компьютерных угроз. В современных антивирусах могут задействоваться следующие виды антивирусной защиты:
Сравнение с вирусным образцом - вирусной сигнатурой кода, шаблоном поведения вредоносной программы или цифровым отпечатком в «черном» списке известных угроз. Эта разновидность антивирусной защиты заключается в исследовании подозрительной программы на наличие признаков, характерных для вредоносного ПО. Например, реализуя данный вид защиты, антивирус ищет сигнатуры - последовательности кода, уникальные для определённого вируса.
Поведенческий мониторинг - разновидность антивирусной защиты, основанная на проверке объектов во время осуществления чтения, записи и других операций. Для проведения мониторинга антивирусная программа располагается в оперативной памяти и действует как обработчик системных событий. При старте какой-либо операции, которая может привести к заражению, антивирусный монитор запускает проверку обрабатываемого объекта (документа, программы и т.д.).
Обнаружение изменений - вид антивирусной защиты, базирующийся на контроле целостности программных компонентов компьютера. При заражении вирусы модифицируют файлы, системный реестр или загрузочные сектора диска. Антивирусная программа определяет, был ли изменен объект с помощью подсчета кодов циклического контроля (CRC-сумм) и других методов.
Эвристический анализ. Данный вид антивирусной защиты основан на том, что выполняемые вирусами действия и их последовательность отличаются от поведения большинства программ. Поэтому анализ последовательностей команд и системных вызовов подозрительного программного обеспечения помогает выносить правильное решение о его вредоносности.
Лечение - разновидность антивирусной защиты, состоящая в удалении вредоносных объектов и восстановлении нормальных параметров компьютерной системы.
Репутационный сервис - новейший вид антивирусной защиты, получивший распространение в последние годы и базирующийся на проверке репутации программ, веб-ресурсов и почтовых систем. Такая проверка проводится с использованием «облачных» серверов репутации, поддерживаемых ведущими разработчиками антивирусного ПО, и основана на постоянно обновляемых списках «легитимных», вредоносных и подозрительных ресурсов. Преимуществом репутационных сервисов является очень высокая скорость реакции на появление новых угроз.
Существуют и устаревшие, теперь уже редко используемые виды антивирусной защиты, например, иммунизация, которая заключается в том, что в памяти компьютера размещается программа, сообщающая вирусам, избегающим повторного заражения, о том, что система уже инфицирована.
Реализуют антивирусную защиту следующие модули:
Антивирусный сканер
Антивирусный монитор, использующий многочисленные технологии защиты
Поведенческий блокиратор
Антивирусный ревизор или система контроля CRC
Антивирусный фаг или доктор.
В антивирусных продуктах нового поколения eScan реализован весь комплекс современных технологий защиты.
Материальным носителем информационной безопасности являются конкретные программно-технические решения, которые объединяются в комплексы в зависимости от целей их применения. Организационные меры вторичны относительно имеющейся материальной основы обеспечения информационной безопасности, поэтому в данном разделе пособия основное внимание будет уделено принципам построения основных программно-технических решений и перспективам их развития.
Угрозой интересам субъектов информационных отношений обычно называют потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты ИРК может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.
В силу особенностей современных ИРК, существует значительное число различных видов угроз безопасности субъектам информационных отношений.
Одним из распространенных видов угроз являются компьютерные вирусы. Они способны причинить значительный ущерб ИРК. Поэтому важное значение имеет не только защита сети или отдельных средств информационного обмена от вирусов, но и понимание пользователями принципов антивирусной защиты.
В нашей стране наиболее популярны антивирусные пакеты «Антивирус Касперского» и DrWeb. Существуют также другие программы, например «McAfee Virus Scan» и «Norton AntiVirus». Динамика изменения информации в данной предметной области высокая, поэтому дополнительную информацию по защите от вирусов можно найти в Internet, выполнив поиск по ключевым словам «защита от вирусов».
Известно, что нельзя добиться 100 %-й защиты ПК от компьютерных вирусов отдельными программными средствами. Поэтому для уменьшения потенциальной опасности внедрения компьютерных вирусов и их распространения по корпоративной сети необходим комплексный подход, сочетающий различные административные меры, программно-технические средства антивирусной защиты, а также средства резервирования и восстановления. Делая акцент на программно-технических средствах, можно выделить три основных уровня антивирусной защиты:
Поиск и уничтожение известных вирусов;
Поиск и уничтожение неизвестных вирусов;
Блокировка проявления вирусов .
Уровни и средства антивирусной защиты схематично представлены на рис. 2.1.
Рис. 2.1. Уровни и средства антивирусной защиты
2.1.1. Защита от известных вирусов
При поиске и уничтожении известных вирусов наиболее распространенным является метод сканирования. Указанный метод заключается в выявлении компьютерных вирусов по их уникальному фрагменту программного кода (сигнатуре, программному штамму). Для этого создается некоторая база данных сканирования с фрагментами кодов известных компьютерных вирусов. Обнаружение вирусов осуществляется путем сравнения данных памяти компьютера с фиксированными кодами базы данных сканирования. В случае выявления и идентификации кода нового вируса, его сигнатура может быть введена в базу данных сканирования. В виду того, что сигнатура известна, существует возможность корректного восстановления (обеззараживания) зараженных файлов и областей. Следует добавить, что некоторые системы хранят не сами сигнатуры, а, например, контрольные суммы или имитоприставки сигнатур.
Антивирусные программы, выявляющие известные компьютерные вирусы, называются сканерами или детекторами. Программы, включающие функции восстановления зараженных файлов, называют полифагами (фагами), докторами или дезинфекторами. Принято разделять сканеры на следующие:
Транзитные, периодически запускаемые для выявления и ликвидации вирусов,
Резидентные (постоянно находящиеся в оперативной памяти), проверяющие заданные области памяти системы при возникновении связанных с ними событий (например, проверка файла при его копировании или переименовании).
К недостаткам сканеров следует отнести то, что они позволяют обнаружить только те вирусы, которые уже проникали в вычислительные системы, изучены и для них определена сигнатура. Для эффективной работы сканеров необходимо оперативно пополнять базу данных сканирования. Однако с увеличением объема базы данных сканирования и числа различных типов искомых вирусов снижается скорость антивирусной проверки. Само собой, если время сканирования будет приближаться ко времени восстановления, то необходимость в антивирусном контроле может стать не столь актуальной.
Некоторые вирусы (мутанты и полиморфные) кодируют или видоизменяют свой программный код. Это затрудняет или делает невозможным выделить сигнатуру и, следовательно, обнаружить вирусы методом сканирования.
Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.
2.1.2. Защита от неизвестных вирусов
Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов, пропущенных на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение изменений). Данный метод заключается в проверке и сравнении текущих параметров вычислительной системы с эталонными параметрами, соответствующими ее незараженному состоянию. Понятно, что контроль целостности не является прерогативой системы антивирусной защиты. Он обеспечивает защищенность информационного ресурса от несанкционированных модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и среды.
Для реализации указанных функций используются программы, называемые ревизорами. Работа ревизора состоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска) и периодическое сравнение их с текущими характеристиками. Обычно контролируемыми характеристиками являются контрольная сумма, длина, время, атрибут «только для чтения» файлов, дерево каталогов, сбойные кластеры, загрузочные сектора дисков. В сетевых системах могут накапливаться среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими параметрами.
Ревизоры, как и сканеры, делятся на транзитные и резидентные. К недостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими различные неудобства и трудности в работе пользователя. Например, многие изменения параметров системы вызваны не вирусами, а работой системных программ или действиями пользователя-программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, необходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.
Ревизоры обеспечивают высокий уровень выявления неизвестных компьютерных вирусов, однако они не всегда обеспечивают корректное лечение зараженных файлов. Для лечения файлов, зараженных неизвестными вирусами, обычно используются эталонные характеристики файлов и предполагаемые способы их заражения.
Разновидностью контроля целостности системы является метод программного самоконтроля, именуемый вакцинацией. Идея метода состоит в присоединении к защищаемой программе модуля (вакцины), контролирующего характеристики программы, обычно ее контрольную сумму.
Помимо статистических методов контроля целостности, для выявления неизвестных и маскирующихся вирусов используются эвристические методы. Они позволяют выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или новые модифицированные вирусы известных типов. В качестве примера признака вируса можно привести код, устанавливающий резидентный модуль в памяти, меняющий параметры таблицы прерываний и др. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором. Примером сканера с эвристическим анализатором является программа Dr Web фирмы «Диалог-Наука».
К недостаткам эвристических анализаторов можно отнести ошибки 1-го и 2-го рода: ложные срабатывания и пропуск вирусов. Соотношение указанных ошибок зависит от уровня эвристики.
Понято, что если для обнаруженного эвристическим анализатором компьютерного вируса сигнатура отсутствует в базе данных сканирования, то лечение зараженных данных может быть некорректным.
2.1.3. Защита от проявлений вирусов
Блокировка проявления вирусов предназначена для защиты от деструктивных действий и размножения компьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехвате характерных для вирусов функций. Известны два вида указанных антивирусных средств:
Программы-фильтры,
Аппаратные средства контроля.
Программы-фильтры, называемые также резидентными сторожами и мониторами, постоянно находятся в оперативной памяти и перехватывают заданные прерывания с целью контроля подозрительных действий. При этом они могут блокировать «опасные» действия или выдавать запрос пользователю.
Действия, подлежащие контролю, могут быть следующими: модификация главной загрузочной записи (MBR) и загрузочных записей логических дисков и ГМД, запись по абсолютному адресу, низкоуровневое форматирование диска, оставление в оперативной памяти резидентного модуля и др. Как и ревизоры, фильтры часто являются «навязчивыми» и создают определенные неудобства в работе пользователя.
Встроенные аппаратные средства ПК обеспечивают контроль модификации системного загрузчика и таблицы разделов жесткого диска, находящихся в главной загрузочной записи диска (MBR). Включение указанных возможностей в ПК осуществляется с помощью программы Setup, расположенной в ПЗУ. Следует указать, что программу Setup можно обойти в случае замены загрузочных секторов путем непосредственного обращения к портам ввода-вывода контроллеров жесткого и гибкого дисков.
Наиболее полная защита от вирусов может быть обеспечена с помощью специальных контроллеров аппаратной защиты. Такой контроллер подключается к ISA-шине ПК и на аппаратном уровне контролирует все обращения к дисковой подсистеме компьютера. Это не позволяет вирусам маскировать себя. Контроллер может быть сконфигурирован так, чтобы контролировать отдельные файлы, логические разделы, «опасные» операции и т. д. Кроме того, контроллеры могут выполнять различные дополнительные функции защиты, например, обеспечивать разграничение доступа и шифрование.
К недостаткам указанных контроллеров, таких как ISA-плат, относят отсутствие системы автоконфигурирования, и, как следствие, возможность возникновения конфликтов с некоторыми системными программами, в том числе антивирусными.
При работе в глобальных сетях общего пользования, в частности в Internet, кроме традиционных способов антивирусной защиты данных компьютеров, становится актуальным антивирусный контроль всего проходящего трафика. Это может быть осуществлено путем реализации антивирусного прокси-сервера, либо интеграции антивирусной компоненты с межсетевым экраном. В последнем случае межсетевой экран передает антивирусной компоненте (или серверу) допустимый, например, SMTP, FTP и HTTP-трафик. Содержащиеся в нем файлы проверяются на предмет наличия вирусов и, затем, направляются пользователям. Можно сказать, мы имеем дело с новым уровнем антивирусной защиты – уровнем межсетевого экранирования.
2.1.4. Обзор возможностей антивирусных средств
В настоящее время наблюдается тенденция в интегрировании различных антивирусных средств с целью обеспечения надежной многоуровневой защиты. На российском рынке наиболее мощными являются антивирусный комплект DialogueScience’s Anti-Virus kit (DSAV) АО «ДиалогНаука» и интегрированная антивирусная система AntiViral Toolkit Pro (AVP) ЗАО «Лаборатория Касперского». Указанные комплексы высоко зарекомендовали себя в нашей стране, особенно при обеспечении антивирусной защиты информационных систем малого и среднего офиса. Рассмотрим возможности средства «Лаборатория Касперского».
Указанный программный продукт декларирует: «Одной из главных задач специалистов «Лаборатории Касперского» при создании Антивируса Касперского являлась оптимальная настройка всех параметров приложения. Это дает возможность пользователю с любым уровнем компьютерной грамотности, не углубляясь в параметры, обеспечить безопасность компьютера сразу же после установки приложения». Окно-приглашение (главное окно) указанного антивирусного средства доступно для понимания пользователю любого уровня.
В случае необходимости пользователь может обратиться за помощью к справочной системе, нажав кнопку «? Справка» и получить ответ на интересующий его вопрос. Приведем без купюр содержание одного из информационных окон программного продукта.
Антивирус Касперского – это принципиально новый подход к защите информации. Главное в приложении – это объединение и заметное улучшение текущих функциональных возможностей всех продуктов компании в одно комплексное решение защиты. Приложение обеспечивает не только антивирусную защиту, но и защиту от неизвестных угроз. Больше не нужно устанавливать несколько продуктов на компьютер, чтобы обеспечить себе полноценную защиту. Достаточно просто установить Антивирус Касперского.
Комплексная защита обеспечивается на всех каналах поступления и передачи информации. Гибкая настройка любого компонента приложения позволяет максимально адаптировать Антивирус Касперского под нужды конкретного пользователя. Предусмотрена также единая настройка всех компонентов защиты.
Рассмотрим детально нововведения Антивируса Касперского.
Новое в защите
Теперь Антивирус Касперского защищает не только от уже известных вредоносных программ, но и от тех, что еще не известны. Наличие компонента проактивной защиты – основное преимущество приложения. Его работа построена на анализе поведения приложений, установленных на вашем компьютере, на контроле изменений системного реестра, отслеживании выполнения макросов и борьбе со скрытыми угрозами. В работе компонента используется эвристический анализатор, позволяющий обнаруживать различные виды вредоносных программ. При этом ведется история вредоносной активности, на основе которой обеспечивается откат действий, совершенных вредоносной программой, и восстановление системы до состояния, предшествующего вредоносному воздействию.
Изменилась технология защиты файлов на компьютере пользователя: теперь вы можете снизить нагрузку на центральный процессор и дисковые подсистемы и увеличить скорость проверки файлов. Это достигается за счет использования технологий iChecker и iSwift. Такой режим работы приложения исключает повторную проверку файлов.
Процесс поиска вирусов теперь подстраивается под вашу работу на компьютере. Проверка может занимать достаточное количество времени и ресурсов системы, но пользователь может параллельно выполнять свою работу. Если выполнение какой-либо операции требует ресурсов системы, поиск вирусов будет приостановлен до момента завершения этой операции. Затем проверка продолжится с того места, на котором остановилась.
Проверка критических областей компьютера, заражение которых может привести к серьезным последствиям, представлена отдельной задачей. Вы можете настроить автоматический запуск этой задачи каждый раз при старте системы.
Значительно улучшена защита электронной корреспонденции на компьютере пользователя от вредоносных программ. Приложение проверяет на вирусы почтовый трафик на следующих протоколах:
* IMAP, SMTP, POP3, независимо от используемого вами почтового клиента;
* NNTP, независимо от почтового клиента;
* Независимо от типа протокола (в том числе MAPI, HTTP) в рамках работы плагинов, встроенных в почтовые программы Microsoft Office Outlook и The Bat!
В таких широко известных почтовых клиентах как Microsoft Office Outlook, Microsoft Outlook Express и The Bat! встроены специальные модули расширения (плагины), позволяющие настраивать защиту почты непосредственно в почтовом клиенте.
Расширена функция оповещения пользователя о возникновении в работе приложения определенных событий. Вы сами можете выбрать способ уведомления для каждого из типов событий: почтовое сообщение, звуковое оповещение, всплывающее сообщение, запись в журнал событий.
Реализована проверка трафика, передаваемого через защищенное соединение по протоколу SSL.
Добавлена технология самозащиты приложения, защиты от удаленного несанкционированного управления сервисом Антивируса, а также защиты доступа к параметрам приложения с помощью пароля. Это позволяет избежать отключения защиты со стороны вредоносных программ, злоумышленников или неквалифицированных пользователей.
Добавлена возможность создания диска аварийного восстановления системы. С помощью этого диска можно провести первоначальную загрузку операционной системы после вирусной атаки и выполнить проверку компьютера на наличие вредоносных объектов.
Достаточно популярной у ряда пользователей является программа Dr. Web. Основная направленность Dr. Web состоит в обнаружение полиморфных вирусов. В настоящее время Dr. Web реализует наиболее эффективный эвристический анализатор неизвестных вирусов в мире. По данным журнала Virus Bulletin, это обеспечивает обнаружение до 80 – 91% неизвестных вирусов, в т. ч. 99 % макро-вирусов! На международных конкурсах Dr. Web несколько раз входил в тройку самых лучших антивирусов для DOS. Продукт достаточно компактный, что позволяет запускать его с дискеты.
В заключении отметим, что администратор сети, пользователи ПК должны постоянно следить за обновлением антивирусных средств и своевременно осуществлять комплекс мер по защите программно-аппаратных средств сети от высоковероятного поражения их вирусами.
-
17 апреля 2015Соляная лампа «Каменный цветок -
17 апреля 2015Продуктивные способы потратить время в интернете -
17 апреля 2015Как установить приложение плей маркет на ноутбук
