Защита информации в локальных компьютерных сетях, антивирусная защита. Антивирусная защита информационных сетей

План:

Введение……………………………………………………………………….…..3

Понятие антивирусных средств защиты информации…………...…5

Классификация антивирусных программ……………………...…….6

Сканеры………………………………………………………….…6
CRC-сканеры…………………………………………………..…..7
Блокировщики……………………………………………………..8
Иммунизаторы……………………………….………………….…9

Основные функции наиболее распространенных антивирусов…..10

Антивирус Dr. Web………………………………………...…10

Антивирус Касперского……………………………………...10

Антивирус Antiviral Toolkit Pro………………………………12

Norton AntiVirus 2000…………………………………………13

Заключение……………………………………………………………………….15

Список используемой литературы……………………………………………...16

Введение.

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, сторожа, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость;

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств);

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства;

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

В своей работе я буду рассматривать одну из программных средств защиты информации – антивирусные программы. Так, целью моей работы является проведение анализа антивирусных средств защиты информации. Достижение поставленной цели опосредуется решением следующих задач:

Изучение понятия антивирусных средств защиты информации;

Рассмотрение классификации антивирусных средств защиты информации;

Ознакомление с основными функциями наиболее популярных антивирусов.

Понятие антивирусных средств защиты информации.

Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).

Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

Классификация антивирусных программ.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

2.1 Сканеры.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые “маски”. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик - вирусов. Сканеры также можно разделить на две категории - “универсальные” и “специализированные”. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на “резидентные” (мониторы, сторожа), производящие сканирование “на-лету”, и “нерезидентные”, обеспечивающие проверку системы только по запросу. Как правило, “резидентные” сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как “нерезидентный” сканер способен опознать вирус только во время своего очередного запуска. С другой стороны резидентный сканер может несколько замедлить работу компьютера в том числе и из-за возможных ложных срабатываний.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам -относительно небольшую скорость поиска вирусов. Наиболее распространены в России следующие программы: AVP - Касперского, Dr.Weber – Данилова, Norton Antivirus фирмы Semantic.

2.2 CRC -сканеры.

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту “слабость” CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Наиболее используемые в России программы подобного рода- ADINF и AVP Inspector.

2.3 Блокировщики.

Антивирусные блокировщики - это резидентные программы, перехватывающие “вирусо-опасные” ситуации и сообщающие об этом пользователю. К “вирусо-опасным” относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно “выползает неизвестно откуда”. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (например, неизвестно ни об одном блокировщике для Windows95/NT - нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера (“железа”). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает “ложное срабатывание” защиты.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

2.4 Иммунизаторы.

Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.

Основные функции наиболее распространенных антивирусов.

Антивирус Dr. Web.

Dr. Web - старый и заслуженно популярный в России антивирус, уже несколько лет помогающий пользователям в борьбе с вирусами. Новые версии программы (DrWeb32) работают в нескольких операционных системах, защищая пользователей от более чем 17000 вирусов.

Набор функций вполне стандартный для антивируса - сканирование файлов (в том числе сжатых специальными программами и заархивированных), памяти, загрузочных секторов жестких дисков и дискет. Троянские программы, как правило, подлежат не излечению а удалению. К сожалению, почтовые форматы не проверяются, поэтому сразу после получения электронного письма нельзя узнать, нет ли во вложении вируса. Вложение придется сохранить на диск и проверять отдельно. Впрочем, поставляемый с программой резидентный монитор "Spider Guard" позволяет решить эту задачу "на лету".

Dr. Web - одна из первых программ, в которой был реализован эвристический анализ, который позволяет обнаруживать вирусы, не занесенные в антивирусную базу. Анализатор обнаруживает в программе вирусоподобные инструкции и помечает такую программу как подозрительную. Антивирусная база обновляется через Интернет одним нажатием кнопки. Бесплатная версия программы не проводит эвристического анализа и не лечит файлы.

Антивирус Касперского.

Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

Антивирус Antiviral Toolkit Pro.

Antiviral Toolkit Pro - российский продукт, заслуживший популярность за рубежом и в России, благодаря широчайшим возможностям и высокой надежности. Имеются версии программы для большинства популярных операционных систем, антивирусная база насчитывает около 34000 вирусов.

Существует несколько вариантов поставки - AVP Lite, AVP Gold, AVP Platinum. В наиболее полной версии поставляется три продукта - сканер, резидентный монитор и центр управления. Сканер позволяет проверять файлы и память на наличие вирусов и "троянцев". При этом проверяются упакованные программы, архивы, почтовые базы данных (папки Outlook и т.д.) и осуществляется эвристический анализ для поиска новых вирусов, не занесенных в базу данных. Монитор "на лету" проверяет каждый открываемый файл на вирусы и предупреждает о вирусной опасности, одновременно блокируя доступ к зараженному файлу. Центр управления позволяет по расписанию проводить антивирусную проверку и обновлять базы данных через Интернет. В демонстрационной версии отсутствует возможность лечения зараженных объектов, проверка пакованных и архивных файлов, эвристический анализ.

Norton AntiVirus 2000.

Norton AntiVirus сделана на основе другого популярного продукта - персонального брандмауэра AtGuard (@guard) от WRQ Soft. В результате приложения к нему технологической мощи Symantec, получился интегрированный продукт, обладающий существенно расширенной функциональностью. Ядром системы по-прежнему является брандмауэр. Он весьма эффективно работает без настройки, практически не мешая в повседневном использовании сети, но блокируя попытки перезагрузить или "завесить" компьютер, получить доступ к файлам и принтерам, установить связь с троянскими программами на компьютере.

Norton AntiVirus - единственный брандмауэр из рассмотренных, который реализует возможности этого метода (которого) защиты на 100%. Осуществляется фильтрация всех видов пакетов, путешествующих по сети, в т.ч. служебных (ICMP), правила для работы брандмауэра могут учитывать, какое именно приложение работает с сетью, что за данные передаются и на какой компьютер, в какое время суток это происходит.

Для сохранения конфиденциальных данных, брандмауэр может блокировать отправку веб-серверам адреса электронной почты, типа браузера, возможна также блокировка cookies. Фильтр конфиденциальной информации предупреждает о попытке переслать в сеть в незашифрованном виде информацию, которую пользователь ввел и пометил, как конфиденциальную.

Активное содержимое веб-страниц (Java-апплеты, сценарии и т.д) также может блокироваться с помощью Norton AntiVirus - фильтр содержимого может вырезать небезопасные элементы из текста веб-страниц до того, как они попадут в браузер.

В качестве дополнительного сервиса, не связанного напрямую с вопросами безопасности, Norton AntiVirus предлагает очень удобный фильтр рекламных баннеров (эти надоедливые картинки попросту вырезаются из страницы, что ускоряет ее загрузку), а также систему родительского контроля. Запретив посещение определенных категорий сайтов и запуск отдельных видов интернет-приложений, можно быть достаточно спокойным по поводу содержимого сети, которое доступно детям.

Помимо возможностей брандмауэра, Norton AntiVirus предлагает пользователю защиту программы Norton Antivirus. Это популярное антивирусное приложение с регулярно обновляемыми антивирусными базами позволяет довольно надежно обнаруживать вирусы на самых ранних этапах их появления. Сканированию на вирусы подвергаются все закачиваемые из сети файлы, файлы, вложенные в электронную почту, активные элементы веб-страниц. Помимо этого, в Norton Antivirus есть антивирусный сканер и монитор, которые обеспечивают общесистемную защиту от вирусов без привязки к наличию доступа в сеть.

Заключение:

Знакомясь с литературой, я достиг поставленной перед собой цели и сделал следующие выводы:

не существует антивирусов, гарантирующих стопроцентную защиту от вирусов;

Защита информации и информационная безопасность (2)
Реферат >> Информатика
... защиты информации (правовая защита информации , техническая защита информации , защита экономической информации и т.д.). Организационные методы защиты информации и защита информации в России обладают следующими свойствами: Методы и средства защиты информации ...

Одним из условий безопасной работы в информационной системе является соблюдение пользователем ряда правил, которые проверены на практике и показали свою высокую эффективность. Их несколько:

Использование программных продуктов, полученных законным официальным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
Дублирование информации. Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
Регулярное обновление системного ПО. Операционную систему необходимо регулярно обновлять и устанавливать все исправления безопасности от Microsoft и других производителей, чтобы устранить существующие уязвимости программного обеспечения.
Ограничение доступа пользователей к настройкам операционной системы и системным данным. Для обеспечения стабильной работы системы довольно часто требуется ограничивать возможности пользователей, что можно сделать либо с помощью встроенных средств Windows, либо с помощью специализированных программ, предназначенных для управления доступом к компьютеру.
В корпоративных сетях возможно применение групповых политик в сети домена Windows.
Для максимально эффективного использования сетевых ресурсов необходимо вводить ограничения доступа авторизованных пользователей к внутренним и внешним сетевым ресурсам и блокировать доступ неавторизованных пользователей.
Регулярное использование антивирусных средств. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры. Антивирусные базы должны регулярно обновляться. Кроме того, необходимо проводить антивирусный контроль сетевого трафика.
Защита от сетевых вторжений обеспечивается применением программно-аппаратных средств, в том числе: использованием межсетевых экранов, систем обнаружения/предотвращения вторжений IDS/IPS (Intrusion Detection/Prevention System), реализацией технологий VPN (Virtual Private Network).
Применение средств аутентификации и криптографии – использование паролей (простых/сложных/неповторяющихся) и методов шифрования. Не рекомендуется использовать один и тот же пароль на разных ресурсах и разглашать сведения о паролях. При написании пароля на сайтах следует быть особенно внимательным, чтобы не допустить ввода своего пароля на мошенническом сайте-двойнике.
Особую осторожность следует проявлять при использовании новых (не известных) съемных носителей информации и новых файлов. Новые съёмные носители обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы – на наличие файловых вирусов. При работе в распределенных системах или в системах коллективного пользования новые сменные носители информации и вводимые в систему файлы целесообразно проверять на специально выделенных для этой цели компьютерах, не подключенных к локальной сети. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
При работе с полученными (например, посредством электронной почты) документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.
Если не предполагается осуществлять запись информации на внешние носители, то необходимо заблокировать выполнение этой операции, например, программно отключив USB-порты.
При работе с общими ресурсами в открытых сетях (например, Интернет) использовать только проверенные сетевые ресурсы, не имеющие вредоносного контента. Не следует доверять всей поступающей на компьютер информации – электронным письмам, ссылкам на Web-сайты, сообщениям на Интернет-пейджеры. Категорически не рекомендуется открывать файлы и ссылки, приходящие из неизвестного источника.

Постоянное следование приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации. Однако даже при скрупулезном выполнении всех правил профилактики возможность заражения ПК компьютерными вирусами полностью исключить нельзя, поэтому методы и средства противодействия вредоносному ПО необходимо постоянно совершенствовать и поддерживать в работоспособном состоянии.

Антивирусные средства защиты информации

Массовое распространение вредоносного программного обеспечения, серьезность последствий его воздействия на информационные системы и сети вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения.

Нужно отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных программ-вирусов.

Антивирусные средства применяются для решения следующих задач:

обнаружение вредоносного ПО в информационных системах;
блокирование работы вредоносного ПО;
устранение последствий воздействия вредоносного ПО.

Обнаружение вредоносного ПО желательно осуществлять на стадии его внедрения в систему или, по крайней мере, до начала осуществления им деструктивных действий. При обнаружении такого программного обеспечения или его деятельности необходимо сразу же прекратить работу программы-вируса в целях минимизации ущерба от ее воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

удаление вирусов;
восстановление (при необходимости) файлов, областей памяти.

Процедуру удаления обнаруженного вредоносного кода из зараженной системы необходимо выполнять крайне аккуратно. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его уничтожения становится достаточно нетривиальной.

Восстановление системы зависит от типа вируса, а также от времени его обнаружения по отношению к началу деструктивных действий. В том случае, когда программа-вирус уже запущена в системе и ее деятельность предусматривает изменение или удаление данных, восстановление информации (особенно, если она не продублирована) может быть невыполнимо.Для борьбы с вирусами используются программные и программно-аппаратные средства, которые применяются в определенной последовательности и комбинации, образуя методы защиты от вредоносного ПО.

Известны следующие методы обнаружения вирусов, активно применяемые современными антивирусными средствами:

сканирование;
обнаружение изменений;
эвристический анализ;
использование резидентных сторожей;
использование программно-аппаратной защиты от вирусов.

Сканирование – один из самых простых методов обнаружения вирусов, осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры . Под сигнатурой понимается уникальная последовательность байтов, принадлежащая конкретному вирусу и не встречающаяся в других программах.

Программа фиксирует наличие уже известных вирусов, для которых сигнатура определена. Для эффективного применения антивирусных программ, использующих метод сканирования, необходимо регулярное обновление сведений о новых вирусах.

Метод обнаружения изменений базируется на использовании программ-ревизоров, которые следят за изменениями файлов и дисковых секторов на компьютере. Любой вирус каким-либо образом изменяет систему данных на диске. Например, может измениться загрузочный сектор, появиться новый исполняемый файл или измениться уже существующий, и т.п.

Как правило, антивирусные программы-ревизоры определяют и запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров диска. Периодически ревизор проверяет текущее состояние областей дисков и файловой системы, сравнивает с предыдущим состоянием и немедленно выдает сообщения обо всех подозрительных изменениях.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов.

Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Эвристический анализ , как и метод обнаружения изменений, позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Эвристический анализ в антивирусных программах основан на сигнатурах и эвристическом алгоритме, призван улучшить способность программ-сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда код неизвестной программы совпадает с сигнатурой не полностью, но в подозрительной программе явно выражены более общие признаки вируса либо его поведенческая модель. При обнаружении подобных кодов, выдается сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Недостатком данного метода является большое количество ложных срабатываний антивирусных средств в тех случаях, когда в легальной программе присутствуют фрагменты кода, выполняющего действия и/или последовательности, свойственные некоторым вирусам.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в оперативной памяти устройства (компьютера) и отслеживают все действия, выполняемые остальными программами. В случае выполнения какой-либо программой подозрительных действий, свойственных вирусам (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытки перехвата прерываний и т.п.), резидентный сторож выдает сообщение пользователю.

Применение антивирусных программ с резидентным сторожем снижает вероятность запуска вирусов на компьютере, но следует учитывать, что постоянное использование ресурсов оперативной памяти под резидентные программы уменьшает объем памяти, доступной для других программ.

На сегодняшний день одним из самых надежных механизмов защиты информационных систем и сетей являются программно-аппаратные средства , как правило, включающие в себя не только антивирусные системы, но и обеспечивающие дополнительный сервис. Эта тема подробно рассмотрена в разделе "Программно-аппаратные средства обеспечения безопасности информационных сетей".

Защита информации - это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе: просмотр; копирование и подмена данных; ввод ложных программ и сообщений в результате подключения к каналам связи; чтение остатков информации на ее носителях; прием сигналов электромагнитного излучения и волнового характера; использование специальных программ.

1. Средства опознания и разграничения доступа к информации

Одним из наиболее интенсивно разрабатываемых направлений по обеспечению безопасности информации является идентификация и определение подлинности документов на основе электронной цифровой подписи.

2. Криптографический метод защиты информации

Наиболее эффективным средством повышения безопасности является криптографическое преобразование.

3. Компьютерные вирусы

Разрушение файловой структуры;

Загорание сигнальной лампочки дисковода, когда к нему нет обращения.

Основными путями заражения компьютеров вирусами обычно служат съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти в случае загрузки компьютера с дискеты, содержащей вирус.

По тому, какой вид среды обитания имеют вирусы, их классифицируют на загрузочные, файловые, системные, сетевые и файлово - загрузочные (многофункциональные).

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, который содержит программу загрузки системного диска.

Файловые вирусы помещаются в основном в исполняемых файлах с расширением.СОМ и.ЕХЕ.

Системные вирусы внедряются в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы находятся в компьютерных сетях, а файлово-загрузочные - заражают загрузочные секторы дисков и файлы прикладных программ.

По пути заражения среды обитания вирусы разделяются на резидентные и нерезидентные.

Резидентные вирусы при заражении компьютера оставляют в ОП свою резидентную часть, которая после заражения перехватывает обращение ОС к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия, которые могут привести к выключению или перезагрузке компьютера. Нерезидентные вирусы не заражают ОП компьютера и проявляют активность ограниченное время.

Особенность построения вирусов влияет на их проявление и функционирование.

Логическая бомба является программой, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм.

Программы-мутанты, самовоспроизводясь, создают копии, явно отличающиеся от оригинала.

Вирусы-невидимки, или стелс-вирусы, перехватывают обращения ОС к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Эти вирусы при обращении к файлам применяют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

Макровирусы используют возможности макроязыков, которые встроены в офисные программы обработки данных (текстовые редакторы, электронные таблицы).

По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяют безвредные, неопасные, опасные и разрушительные вирусы.

Безвредные вирусы не оказывают патологического влияния на работу компьютера. Неопасные вирусы не разрушают файлы, однако уменьшают свободную дисковую память, выводят на экран графические эффекты. Опасные вирусы часто вызывают значительные нарушения в работе компьютера. Разрушительные вирусы могут привести к стиранию информации, полному или частичному нарушению работы прикладных программ. Важно иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, где может помещаться вирус.

4. Антивирусные программы

Широкое распространение компьютерных вирусов привело к разработке антивирусных программ, которые позволяют обнаруживать и уничтожать вирусы, «лечить» пораженные ресурсы.

Основой работы большинства антивирусных программ является принцип поиска сигнатуры вирусов. Вирусной сигнатурой называют некоторую уникальную характеристику вирусной программы, выдающую присутствие вируса в компьютерной системе.

По способу работы антивирусные программы можно разделить на фильтры, ревизоры, доктора, детекторы, вакцины и др.

Программы-фильтры - это «сторожа», которые постоянно находятся в ОП. Они являются резидентными и перехватывают все запросы к ОС на выполнение подозрительных действий, т. е. операций, которые используют вирусы для своего размножения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого диска. Среди них можно выделить попытки изменения атрибутов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, записи в загрузочные секторы диска.

Постоянное нахождение программ-«сторожей» в ОП существенно уменьшает ее объем, что является основным недостатком этих программ. К тому же программы-фильтры не способны «лечить» файлы или диски. Эту функцию выполняют другие антивирусные программы, например AVP, Norton Antivirus for Windows, Thunder Byte Professional, McAfee Virus Scan.

Программы-ревизоры являются надежным средством защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска при условии, что компьютер еще не был заражен вирусом. Впоследствии программа периодически сравнивает текущее состояние с исходным. При обнаружении несоответствий (по длине файла, дате модификации, коду циклического контроля файла) сообщение об этом появляется на экране компьютера. Среди программ-ревизоров можно выделить программу Adinf и дополнение к ней в виде Adinf cure Module.

Программа-доктор способна не только обнаруживать, но и «лечить» зараженные программы или диски. При этом она уничтожает зараженные программы тела вируса. Программы данного типа можно разделить на фаги и полифаги. Фаги - это программы, с помощью которых отыскиваются вирусы определенного вида. Полифаги предназначены для обнаружения и уничтожения большого числа разнообразных вирусов. В нашей стране наиболее часто используются такие полифаги, как MS Antivirus, Aidstest, Doctor Web. Они непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы способны обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к классу резидентных программ. Они модифицируют программы и диски так, что это не отражается на их работе. Однако вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них. В настоящий момент разработано множество антивирусных программ, получивших широкое признание и постоянно пополняющихся новыми средствами для борьбы с вирусами.

5. Безопасность данных в интерактивной среде

Интерактивные среды уязвимы с позиций безопасности данных. Примером интерактивных сред является любая из систем с коммуникационными возможностями, например электронная почта, компьютерные сети, Интернет.

С целью защиты информации от хулиганствующих элементов, неквалифицированных пользователей и преступников в системе Интернет применяется система полномочий, или управление доступом.

Задание: конспект, ответить на вопросы уч.Цв., стр.176, вопр. 3, 4 и 5.

Итак - свершилось. На дворе новое тысячелетие. Позади остался «век прогресса и прогрессивки», время индустриализации и первых робких шагов информационных технологий. Впервые человечество сумело получить информации больше, чем было в состоянии осмыслить. Информация стала одной из величайших ценностей, посрамив презренный желтый металл, столетиями являвшийся мерилом положения человека в обществе. Это привело к серьезному изменению концепций безопасности и породило ряд таких весьма специфических проблем, как компьютерные вирусы.

В отличие от традиционных эквивалентов информацию очень легко похитить. При этом сам процесс похищения (копирования) вполне может пройти незамеченным ее законным владельцем. Эту проблему мы оставим для отдельного обзора, а сегодня рассмотрим способы защиты информации от внешнего злонамеренного воздействия, ставящего своей целью несанкционированное изменение и уничтожение информации. В соответствии с устоявшейся терминологией такие вредоносные программы получили название компьютерных вирусов. Оставим в стороне этический аспект побуждений, двигавших создателями вирусов, и сосредоточимся на проблеме защиты информации от их пагубного влияния.

Как известно, для того чтобы победить в сражении, необходимо иметь четкое представление о противнике и о его возможностях. Питать иллюзии относительно его возможностей недопустимо. Если вы искренне верите фильмам, в которых главный герой с третьей попытки угадывает пароль в 20 символов или вставленный компакт-диск при неправильно указанном пароле взрывается, дальнейшая часть этой статьи адресована не вам. Тем не менее частенько приходится слышать о вирусах, наносящих компьютеру физические повреждения, например вводящих в резонанс головки винчестера, что приводит к его разрушению. Сразу оговорюсь, что один такой вирус существует - это печально известный Win95.CIH. Он разрушает память BIOS (Basic Input/Output System), определяющую саму рабочую логику компьютера. При этом наносимые повреждения достаточно легко исправляются даже в домашних условиях. Кроме того, профилактика его основной деструктивной функции довольно проста - достаточно в программе Setup установить запрет на обновление BIOS. К счастью, подавляющее большинство вирусов не столь изощрены и довольствуются повреждением информации и дальнейшим распространением.

Попробуем теперь систематизировать все наши знания о противнике и обозначить линии обороны. При этом нельзя ограничиваться одной, пусть даже самой крепкой стеной. Общий принцип построения защиты можно позаимствовать у военных. Вся входящая и исходящая информация должна тщательно проверяться на предмет заражения известными вирусами. Необходимо отслеживать как традиционные (дискеты), так и новые (электронная почта, Internet) пути проникновения вирусов на охраняемую территорию. Кроме того, на охраняемой территории необходимо вести регулярное патрулирование на предмет поиска следов вражеской деятельности. На случай проникновения врага на охраняемую территорию необходимо раздельно охранять все ключевые объекты (системные файлы). Дополнительно следует вести регулярную разведку (обновление базы вирусов) и проверять готовность и работоспособность системы. На первый взгляд все достаточно просто: антивирусный комплекс с функцией расчета контрольных сумм файлов и резидентный монитор с достаточно большой вероятностью защитят нас от любой напасти. Естественно, только в том случае, если список вирусов будет регулярно обновляться. В случае если вирус все-таки просочился через внешний периметр, сигналом тревоги станет изменение «неизменяемых» файлов. Указанная схема гарантирует приблизительно 85-процентную вероятность обнаружения противника еще на границе охраняемой зоны и 99-процентную - обнаружения факта его проникновения внутрь защитного периметра. В большинстве случаев этого достаточно.

Рассмотренная ситуация представляется точкой зрения «лейтенанта антивирусных войск», задачей которого является оборона небольшого объекта. Подобный подход неприемлем, когда требуется обезопасить более крупный объект, включающий несколько компьютеров. Ситуацию многократно усложняет наличие доступа в Internet. Естественно, самым простым способом «решения» этой проблемы будет занудное применение вышеуказанной методики с поправкой на возросшее число «зон ответственности». В результате мы получим Северную Америку во времена войн с индейцами: укрепленные форты, а вокруг - неизвестность! В этом случае любая информация, передаваемая между компьютерами, может быть необратимо повреждена в процессе передачи по «ничейной» территории. Поэтому мы попробуем сформулировать новые принципы защиты, исходя из расширившейся зоны ответственности и увеличения количества путей вторжения. В качестве примера рассмотрим сетевые инфраструктуры, первая из которых принадлежит одному из крупнейших издательских холдингов, а вторая развернута в Издательском доме «КомпьютерПресс»(см. врезку).

Как обычно, сначала произведем оценку вероятных путей проникновения вирусов. В течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты. Тем не менее не стоит сбрасывать со счетов «классический» способ подцепить заразу. Таким образом, вирус может попасть на локальный компьютер пользователя следующими способами:

Напрямую через дискету, компакт-диск, удаленный почтовый ящик - классический способ.
Через корпоративную систему электронной почты.
Через корпоративный канал доступа в систему Internet.
С корпоративного сервера.

Теперь попробуем сформулировать принципы нашей оборонительной стратегии: существует возможность перекрыть все направления проникновения инфекции или только их часть. Например, можно защитить рабочие станции и серверы (вариант А), оставив без прикрытия канал доступа в Internet и систему электронной почты. И это не намного снизит общую защищенность системы - просто проникновение будет определяться и пресекаться непосредственно на рабочих станциях. Однако при этом резко возрастает нагрузка на «разведку» - все рабочие станции должны регулярно получать обновление антивирусной программы и базы вирусов. В случае организации полной защиты (вариант Б) нагрузка распределяется более равномерно между всеми защитными подсистемами.

Теперь, когда общая стратегия обозначена, рассмотрим вопрос управления системой в целом. При всей кажущейся простоте этот вопрос является одним из определяющих. Возможных вариантов всего два: централизованное управление всей системой и местное управление. У каждого из них есть свои преимущества и свои недостатки. На врезках приведены практические примеры централизованного и местного управления антивирусной защитой, на основании которых можно сделать вывод о преимуществе централизованного управления в случаях большого количества рабочих станций, а также наличия заметного потока входящей информации, нуждающейся в проверке. Кроме того, существует такое понятие, как дополнительные опасности, вызванные такими факторами, как наличие конфиденциальной информации и присутствие приходящих сотрудников, а также уровнем компьютерной грамотности последних. Мой опыт работы как в государственных, так и в коммерческих структурах быстро развеял любые надежды на этот счет - на моих глазах сотрудники пытались запустить FDISK.EXE для того, чтобы увеличить скорость работы компьютера, следуя инструкции, присланной неизвестным по системе электронной почты. При этом все попытки остановить человека вызывали поток язвительных замечаний относительно моих профессиональных навыков и широты кругозора. Естественно, все перечисленные факторы повышают требования как к системе в целом, так и к ее организации. Однако у вопроса об организации антивирусной защиты есть и финансовая сторона. Глупо разворачивать систему стоимостью несколько тысяч долларов для защиты пяти компьютеров в небольшой фирме. С другой стороны, когда руководство начинает экономить даже на собственной безопасности, возникает ситуация, подобная той, что сложилась в крупном издательском холдинге (см. врезку 1). Поэтому во всем должен присутствовать здравый смысл и трезвое осознание ситуации.

Теперь определимся с выбором конкретных защитных систем, на базе которых и будем строить нашу защиту. Исторически на отечественном рынке популярностью пользовались отечественные разработки, такие как AidsTest и Adinf компании «ДиалогНаука», а также более поздняя разработка группы Евгения Касперского - AVP. Кроме того, заметную долю этого рынка в нашей стране занимают зарубежные продукты, такие как Norton Antivirus (Symantec Co.) и MacAfee (Networks Associates Technology, Inc.). При этом четко разделить между ними сегменты рынка антивирусного ПО невозможно вследствие их значительной универсальности, а также личных пристрастий пользователей. Тем не менее отдельные тенденции выделить все же можно. Так, большая часть пользователей операционных систем семейства MS-DOS и ранних версий MS Windows (до 3.11) используют антивирусный «тандем» компании «ДиалогНаука», а счастливые пользователи более старших версий MS Windows останавливают свой выбор на антивирусных комплексах от группы Касперского и Symantec. При этом часто выбор основан на личных предпочтениях и предыдущем опыте. К примеру, когда решалась проблема организации антивирусной защиты информационной системы Издательского дома «КомпьютерПресс», вопрос о программном обеспечении даже не поднимался. Выбор бы очевиден - Norton Antivirus Corporate Edition.

Предыстория этого выбора восходит к 1994 году, когда отечественные антивирусные разработки спасовали перед иноземной заразой, занесенной в домашний компьютер дискетой, прибывшей из Штатов. В приступе отчаяния в магазине «Библио-Глобус» (что на Мясницкой) был куплен единственный иноземный целитель, коим и оказался Norton Antivirus 2.0. В последующие годы я своими глазами наблюдал эволюцию этого продукта. Однако поскольку на отечественные вирусы реагировал он не всегда, сразу расстаться с AidsTest, Adinf и AVP не удалось. Это привело к пятилетнему совместному использованию данных антивирусов, обеспечив возможность их сравнительного тестирования. Если быть кратким, то отличительные особенности продуктов можно описать следующим образом:

Adinf. Идеальный (почти) сторож диска. Позволяет рассчитывать контрольные суммы как файлов, так и системных областей жесткого диска. В паре с модулем восстановления (Adinf Cure Module) позволял (не всегда) восстанавливать файлы, зараженные неизвестным вирусом. На практике подобное восстановление было не всегда корректным. Однако значение этого продукта трудно переоценить.
AidsTest. Первый российский антивирус. Быстро и надежно ищет и в большинстве случаев корректно излечивает известные ему вирусы. В числе его заслуг - прекращение эпидемии вирусов семейства Stone (1991-1993 годы) и ряда других, меньших по объему. В течение многих лет (до появления Adinf в 1991 году) оставался единственной защитой отечественных пользователей от вирусов.
AVP. Разработка группы Евгения Касперского (1993 году). Прославилась своей способностью восстанавливать абсолютное большинство зараженных файлов, в том числе и таких, от восстановления которых отказывались российские и зарубежные аналоги.

На фоне столь блестящей отечественной антивирусной триады разработка Symantec первоначально ничем не выделялась. Однако начиная с версии 3.0 продукт стал с каждой новой версией приобретать новые возможности, расширяя и совершенствуя уже имеющиеся. Именно в нем были впервые применены такие революционные возможности, как механизм эвристического анализа данных на предмет «вирусоподобных» инструкций и обновление антивирусной базы по сети Internet (Live Update). Кстати - в отечественные разработки подобная функция была включена сравнительно недавно. Именно Symantec первым добился в своем комплексе практически полного снятия необходимости контроля его работы. Все, что требовалось от пользователя, - это канал доступа в Internet для автоматического получения обновлений. Именно поэтому, будучи студентом МГУ и одновременно администратором «кафедральной» сети (состоящей, к слову сказать, из пяти компьютеров, лучший из которых был P-PRO), я использовал именно этот программный продукт для обеспечения защиты научных данных, статей и своего диплома от вирусной заразы. Естественно, от Adinf я не отказался и регулярные проверки AidsTest выполнял. Однако функция контроля открываемых файлов и данных была возложена на антивирусный монитор из Norton Antivirus 3.0. Перелом наступил в 1998 году, когда, будучи системным администратором одного из крупнейших издательских холдингов, я констатировал факт полного соответствия списка определений вирусов в Norton Antivirus и в отечественных разработках. Все это, с учетом более быстрой работы и меньшего количества сбоев по сравнению с доступными аналогами, привело к построению антивирусной защиты компании по схеме А (см. врезку 1) на основе версии 4.0 антивирусного пакета компании Symantec. К сожалению, руководство не посчитало возможным приобрести более дорогую версию (Corporate Edition) этого пакета, что изрядно затрудняло работу инженеров сервисного центра по защите от вирусов и снижало эффективность построенной защиты. Дальнейший опыт доказал нерациональность использования пакета Norton Antivirus 4.0 в условиях крупной компании и обоснованность наших требований по приобретению более совершенной версии антивирусного ПО. В то же время за весь срок использования описываемого здесь пакета (более двух лет) ни одному вирусу не удалось вызвать даже локальную эпидемию, не говоря уже о потере данных. И это при том, что антивирусное ПО регулярно обновлялось исключительно на серверах. Рабочие же станции обновлялись лишь от случая к случаю, да еще при глобальных переездах и прочих стихийных бедствиях. В результате некоторые рабочие станции не обновлялись с момента установки на них антивируса. При этом система электронной почты и канал доступа в Internet никоим образом не контролировались. К слову, наши соседи (другое известное издательство) в 1999 году перенесло катастрофическую эпидемию знаменитого Win95.CIH, хотя использовало некий отечественный антивирусный продукт.

На этом мы завершим разговор о прошлом и обратим наш взор в светлое настоящее и радужное будущее.

К чести компании Symantec, она не остановилась на достигнутом и улучшила свою серию антивирусных продуктов, что привело к созданию новой версии системы корпоративной антивирусной защиты - Norton Antivirus Corporate Edition 7.01. Именно эта система, после непродолжительных обсуждений с руководством, была принята на вооружение Издательского дома «КомпьютерПресс». Однако в процессе переговоров с сотрудником компании Symantec наш выбор склонился в пользу двух пакетов, представляющих законченное антивирусное решение в рамках организации, а именно в пользу пакетов Norton Antivirus Solution 4.0 и Norton Antivirus Enterprise Solution 4.0. Состав этих пакетов приведен в таблице .

Первое впечатление от новой версии антивируса было неоднозначным. Прежде всего поразило практически полное отсутствие какой-либо бумажной документации. Скудное описание начальных шагов - не в счет. Тем не менее - вопреки привычной практике сначала ставить, а потом разбираться в документации - оно было неоднократно прочитано. Примерно при третьем прочтении где-то в середине мелким шрифтом мелькнуло предупреждение о необходимости правильной последовательности инсталляции компонентов. Еще страниц через пять эта последовательность была обнаружена. На естественный вопрос о первопричине скрытия этой ценнейшей информации среди подробных описаний этапов вскрытия коробки и правил запуска программ под MS Windows ответить было некому. Поэтому был распечатан компакт-диск - тут-то и началось самое интересное.

Прежде всего полную установку и настройку антивирусного программного обеспечения во всей сети можно осуществить с любого рабочего места. После установки центральной антивирусной консоли и перезагрузки мы приступили к установке антивируса на серверы. Предварительно пришлось выделить один из серверов на роль «карантина» и еще один - на роль сервера обновлений списка вирусов. Эти функции были возложены на сервер печати компании, что не привело к сколько-нибудь заметному замедлению ими выполнения своих основных функций. Процесс установки прошел гладко, без малейших нареканий и глупых вопросов со стороны инсталлятора. Единственное, что потребовалось от нас, это подойти к двум старым серверам и перезагрузить их, поскольку сделать это средствами операционной системы не представлялось возможным в связи с аппаратными проблемами. Все остальные серверы были успешно перезагружены удаленно , посредством соответствующей утилиты из NT Resource Kit.

После этого мы занялись пользователями. Поскольку устанавливать защиту всем одновременно не представлялось разумным из-за отсутствия информации о возможности сбоев и конфликтов программного обеспечения, нами был принят секретный список из семи пользователей, которые «добровольно-принудительно» получили антивирус. Только спустя три часа после проведения этого мероприятия один сотрудник заметил пиктограмму антивирусного монитора, а еще один компьютер, работающий под управлением MS Windows 2000 Professional, перестал грузиться. Симптомы, сопровождавшие столь возмутительное поведение компьютера, были крайне странными и неоднозначными. Во-первых, резко увеличилось время загрузки операционной системы. Во-вторых, перезапуск системы в безопасном режиме приводил к ее зависанию. Наконец (и это самое страшное), перестал запускаться сервис NetLogon, что является одной из самых страшных ошибок операционных систем семейства Windows NT. Поскольку переустановка системы была неприемлема вследствие планировавшейся перспективы установки этого антивирусного комплекса на остальные компьютеры с аналогичной операционной системой, было предпринято патолого-анатомическое исследование «покойника», дабы установить первопричину такой напасти. Уже непродолжительное вскрытие выявило преинтереснейшую вещь, а именно - строки в реестре, по внешнему виду наводящие на мысль об их родственных отношениях с отечественным антивирусным комплексом AVP. После допроса с пристрастием сотрудник признался в наличии на его машине антивирусного монитора из состава комплекса AVP. Дальнейшие действия свелись к ликвидации этого программного обеспечения с незначительной чисткой реестра, после чего рабочая станция загрузилась и как ни в чем не бывало продолжила работать. В результате было принято решение о необходимости предварительной зачистки рабочих станций от других антивирусных программ, что и было выполнено.

Установка соответствующих компонентов для защиты системы электронной почты и корпоративного брандмауэра прошла очень гладко и практически незаметно для пользователей. Кроме того, уменьшилась (на 5-7%) скорость загрузки файлов из Internet. Работа с электронной почтой заключалась в «вырезании» неизлечимого вложения из письма с отправкой его в карантин и рассылкой предупреждения ответственному сотруднику. Единственное, что можно рекомендовать при установке антивируса, - это обратить внимание на настройки защиты. К сожалению, они не всегда являются оптимальными.

После установки всего комплекса на часть компьютеров Издательского дома «КомпьютерПресс», выделенных в виртуальную тестовую сеть, началась активная обкатка всей системы. Полученный опыт можно сформулировать следующим образом:

Общая организация защиты с настройками по умолчанию может быть оценена в 5 баллов - за защищенность, и на твердую «тройку» - за рациональность. Настройки защиты по умолчанию не являются лучшими с точки зрения как скорости, так и безопасности. Разумно проверять «на лету» некоторый минимум типов файлов (и уж никак не tiff - изображения объемом примерно 100-500 Мбайт), но проверка на почтовом сервере и брандмауэре должна вестись всеми доступными способами.
Настройки безопасности рабочих станций и серверов должны дополнять друг друга, но не дублировать. По умолчанию запрашиваемый файл сначала тестируется на сервере при его запросе, а затем на рабочей станции при открытии. Поскольку базы определений вирусов идентичны, это пустая трата времени.
Проводите регулярные проверки «боеготовности» комплекса. Самый простой способ - периодическое «подбрасывание» в разные участки сети заведомо зараженных данных и анализ скорости и качества реакции системы на их появление.
Чем меньше может пользователь - тем лучше! Не нужно никаких сообщений об обнаружении вирусов. Если вирус есть и он излечим - значит следует его «на лету» излечить и выдать пользователю «здоровую» версию. Если нет - «access denied». И никакого либерализма - вирусы представляют слишком большую угрозу.
И наконец, не ленитесь проводить регулярную маниакальную проверку серверных дисков. Это не займет у вас много времени, но повысит общий уровень защиты.

Если суммировать абсолютно все, то весь комплекс заслуживает (с небольшой натяжкой) высшей оценки. Вот если бы еще документация была чуть более логичной... Не очень приятно, когда из-за крупицы ценной информации приходится перелопачивать огромное количество пустых инструкций.

В заключение хотелось бы упомянуть о заявленной, но, к сожалению (или к счастью), не опробованной нами новой возможности антивирусного пакета, а именно - об оперативном анализе подозрительных файлов и синтеза противоядия. Эта функция реализована в рамках карантинного сервера и представляется важной не только при отсутствии возможности получения обновленных определений вирусов, но и как последняя надежда при появлении в вашей сети неопознанного компьютерного монстра.

Удачи вам, и пусть использование вами этого прекрасного антивирусного комплекса не приведет к снижению частоты производимого резервного копирования. Как известно, на Бога надейся, а сам не плошай.

КомпьютерПресс 2"2001

План:

Введение……………………………………………………………………….…..3

1. Понятие антивирусных средств защиты информации…………...…5

2. Классификация антивирусных программ……………………...…….6

2.1 Сканеры………………………………………………………….…6

2.2 CRC-сканеры…………………………………………………..…..7

2.3 Блокировщики……………………………………………………..8

2.4 Иммунизаторы……………………………….………………….…9

3. Основные функции наиболее распространенных антивирусов…..10

3.1 Антивирус Dr. Web………………………………………...…10

3.2 Антивирус Касперского……………………………………...10

3.3Антивирус Antiviral Toolkit Pro………………………………12

3.4Norton AntiVirus 2000…………………………………………13

Заключение……………………………………………………………………….15

Список используемой литературы……………………………………………...16

Введение.

1) Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, сторожа, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость;

2) Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств);

3) Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства;

4) Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

1) Изучение понятия антивирусных средств защиты информации;

2) Рассмотрение классификации антивирусных средств защиты информации;

3) Ознакомление с основными функциями наиболее популярных антивирусов.

1. Понятие антивирусных средств защиты информации.

2. Классификация антивирусных программ.

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integritychecker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

2.1 Сканеры.

2.2 CRC -сканеры.

2.3 Блокировщики.

2.4 Иммунизаторы.

3. Основные функции наиболее распространенных антивирусов.

3.1 Антивирус Dr. Web.

3.2 Антивирус Касперского.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

3.3 Антивирус Antiviral Toolkit Pro.

3.4 Norton AntiVirus 2000.

Заключение:

Знакомясь с литературой, я достиг поставленной перед собой цели и сделал следующие выводы:

1) Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации);

2) не существует антивирусов, гарантирующих стопроцентную защиту от вирусов;

3) Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integritychecker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Список используемой литературы:

1) Проскурин В.Г. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах. –Москва: Радио и связь, 2000;

2) http://ru.wikipedia.org/wiki/Антивирусная_программа;

3) www.kasperski.ru;

4) http://www.symantec.com/sabu/nis;

Защита информации в локальных компьютерных сетях, антивирусная защита. Антивирусная защита информационных сетей

Защита информации и информационная безопасность (2)

Антивирусные средства защиты информации