Protection des informations dans les réseaux informatiques locaux, protection antivirus. Protection antivirus des réseaux d'information

Planifier:

Présentation……………………………………………………………………………….…..3

Le concept de protection antivirus des informations…………...…5

Classification des programmes anti-virus……………………...…….6

Numériseurs………………………………………………………….…6
Scanners CRC…………………………………………………..…..7
Bloqueurs……………………………………………………..8
Immunisateurs……………………………….……………….…9

Les principales fonctions des antivirus les plus courants…..10

Dr antivirus Internet………………………………………...……10

Kaspersky Anti-Virus……………………………………...10

Boîte à outils antivirale Pro……………………………………12

Norton AntiVirus 2000…………………………………………13

Conclusion…………………………………………………………………………….15

Liste de la littérature utilisée…………………………………………………...16

Introduction.

Les moyens de sécurité de l'information sont un ensemble d'appareils et d'appareils d'ingénierie, électriques, électroniques, optiques et autres, d'appareils et de systèmes techniques, ainsi que d'autres éléments propriétaires utilisés pour résoudre divers problèmes de protection de l'information, y compris la prévention des fuites et la garantie de la sécurité des personnes protégées. informations.

En général, les moyens d'assurer la sécurité de l'information en termes de prévention des actions délibérées, selon la méthode de mise en œuvre, peuvent être divisés en groupes :

Moyens techniques (matériels). Ce sont des dispositifs de différents types (mécaniques, électromécaniques, électroniques, etc.), qui résolvent les problèmes de protection des informations avec du matériel. Ils empêchent soit la pénétration physique, soit, si la pénétration a eu lieu, l'accès à l'information, y compris au moyen de son déguisement. La première partie de la tâche est résolue par les serrures, les barreaux de fenêtre, les gardes, les alarmes de sécurité, etc. La deuxième partie est constituée de générateurs de bruit, de parasurtenseurs, de radios à balayage et de nombreux autres dispositifs qui "bloquent" les canaux potentiels de fuite d'informations ou leur permettent d'être détecté. Les avantages des moyens techniques sont liés à leur fiabilité, leur indépendance vis-à-vis des facteurs subjectifs et leur grande résistance aux modifications. Faiblesses - manque de flexibilité, volume et masse relativement importants, coût élevé ;

Les outils logiciels comprennent des programmes d'identification des utilisateurs, de contrôle d'accès, de cryptage des informations, de suppression des informations résiduelles (de travail) telles que les fichiers temporaires, de test de contrôle du système de protection, etc. Les avantages des outils logiciels sont la polyvalence, la flexibilité, la fiabilité, la facilité d'installation , capacité de modification et de développement. Inconvénients - fonctionnalité limitée du réseau, utilisation d'une partie des ressources du serveur de fichiers et des postes de travail, forte sensibilité aux modifications accidentelles ou délibérées, dépendance possible aux types d'ordinateurs (leur matériel);

Le matériel et le logiciel mixtes exécutent les mêmes fonctions que le matériel et le logiciel séparément et ont des propriétés intermédiaires ;

Les moyens organisationnels consistent en des moyens organisationnels et techniques (préparation des locaux avec des ordinateurs, pose d'un système de câblage, prise en compte des exigences pour en restreindre l'accès, etc.) et organisationnels et juridiques (lois nationales et règles de travail établies par la direction d'un particulier entreprise). Les avantages des outils d'organisation sont qu'ils permettent de résoudre de nombreux problèmes hétérogènes, sont faciles à mettre en œuvre, répondent rapidement aux actions indésirables dans le réseau et offrent des possibilités illimitées de modification et de développement. Inconvénients - forte dépendance à l'égard de facteurs subjectifs, y compris l'organisation globale du travail dans une unité particulière.

Dans mon travail, je considérerai l'un des outils logiciels de protection des informations - les programmes antivirus. Ainsi, le but de mon travail est d'analyser les outils antivirus de protection de l'information. La réalisation de cet objectif passe par la résolution des tâches suivantes :

Étudier le concept d'outils antivirus de protection des informations ;

Examen de la classification des outils antivirus de protection des informations ;

Familiarisation avec les principales fonctions des antivirus les plus populaires.

Le concept de protection des informations antivirus.

Programme antivirus (antivirus) - un programme pour détecter les virus informatiques, ainsi que les programmes indésirables (considérés comme malveillants) en général, et récupérer les fichiers infectés (modifiés) par ces programmes, ainsi que pour la prévention - prévenir l'infection (modification) des fichiers ou le système d'exploitation avec un code malveillant (par exemple, par la vaccination).

antivirus Logiciel se compose de routines qui tentent de détecter, de prévenir et de supprimer les virus informatiques et autres logiciels malveillants.

Classification des programmes antivirus.

Les programmes antivirus sont les plus efficaces pour lutter contre les virus informatiques. Cependant, je voudrais immédiatement noter qu'il n'existe pas d'antivirus garantissant une protection à cent pour cent contre les virus, et les déclarations sur l'existence de tels systèmes peuvent être considérées comme de la publicité déloyale ou du manque de professionnalisme. De tels systèmes n'existent pas, puisque pour tout algorithme antivirus il est toujours possible de proposer un contre-algorithme d'un virus invisible à cet antivirus (l'inverse, heureusement, est également vrai : un antivirus peut toujours être créé pour n'importe quel algorithme de virus ).

Les programmes antivirus les plus populaires et les plus efficaces sont les scanners antivirus (autres noms : phage, polyphage, programme médecin). Après eux en termes d'efficacité et de popularité viennent les scanners CRC (également : auditeur, vérificateur de contrôle, vérificateur d'intégrité). Souvent, ces deux méthodes sont combinées en un seul programme antivirus universel, ce qui augmente considérablement sa puissance. Divers types de bloqueurs et d'immunisants sont également utilisés.

2.1 Numériseurs.

Le principe de fonctionnement des analyseurs antivirus est basé sur l'analyse des fichiers, des secteurs et de la mémoire système et la recherche de virus connus et nouveaux (inconnus de l'analyseur). Les soi-disant "masques" sont utilisés pour rechercher des virus connus. Un masque de virus est une séquence de code constante spécifique à ce virus particulier. Si le virus ne contient pas de masque permanent, ou si la longueur de ce masque n'est pas assez grande, alors d'autres méthodes sont utilisées. Un exemple d'une telle méthode est un langage algorithmique qui décrit toutes les variantes de code possibles qui peuvent être rencontrées lorsque ce type de virus est infecté. Cette approche est utilisée par certains antivirus pour détecter les virus polymorphes. Les scanners peuvent également être divisés en deux catégories - "universel" et "spécialisé". Les scanners universels sont conçus pour rechercher et neutraliser tous les types de virus, quel que soit le système d'exploitation dans lequel le scanner est conçu pour fonctionner. Les scanners spécialisés sont conçus pour neutraliser un nombre limité de virus ou une seule classe d'entre eux, tels que les virus de macro. Les analyseurs spécialisés conçus uniquement pour les virus de macro s'avèrent souvent être la solution la plus pratique et la plus fiable pour protéger les systèmes de flux de travail dans les environnements MS Word et MS Excel.

Les scanners sont également divisés en «résidents» (moniteurs, gardiens), qui effectuent une numérisation à la volée, et «non-résidents», qui vérifient le système uniquement sur demande. En règle générale, les scanners "résidents" offrent une protection du système plus fiable, car ils réagissent immédiatement à l'apparition d'un virus, tandis qu'un scanner "non résident" n'est capable d'identifier un virus que lors de son prochain lancement. D'un autre côté, un scanner résident peut ralentir quelque peu l'ordinateur, notamment en raison d'éventuels faux positifs.

Les avantages des scanners de tous types incluent leur polyvalence, les inconvénients sont la vitesse relativement faible de recherche de virus. Les programmes suivants sont les plus courants en Russie : AVP - Kaspersky, Dr.Weber - Danilov, Norton Antivirus de Semantic.

2.2 CRC-scanners.

Le principe de fonctionnement des scanners CRC est basé sur le calcul de sommes CRC (checksums) pour les fichiers/secteurs système présents sur le disque. Ces sommes CRC sont ensuite stockées dans la base de données antivirus, ainsi que quelques autres informations : longueurs des fichiers, dates de leur dernière modification, etc. La prochaine fois que les scanners CRC sont exécutés, ils vérifient les données contenues dans la base de données avec les valeurs réelles comptées. Si les informations du fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners CRC signalent que le fichier a été modifié ou infecté par un virus. Les scanners CRC utilisant des algorithmes anti-furtifs sont une arme assez puissante contre les virus : près de 100 % des virus sont détectés presque immédiatement après leur apparition sur un ordinateur. Cependant, ce type d'antivirus a un défaut inhérent, ce qui réduit considérablement leur efficacité. Cet inconvénient est que les scanners CRC ne sont pas capables d'attraper un virus au moment de son apparition dans le système, mais ne le font qu'après un certain temps, après que le virus se soit propagé dans tout l'ordinateur. Les scanners CRC ne peuvent pas détecter un virus dans les nouveaux fichiers (dans les e-mails, sur les disquettes, dans les fichiers restaurés à partir d'une sauvegarde ou lors de la décompression de fichiers à partir d'une archive), car leurs bases de données ne disposent pas d'informations sur ces fichiers. De plus, des virus apparaissent périodiquement qui utilisent cette "faiblesse" des scanners CRC, n'infectent que les fichiers nouvellement créés et restent ainsi invisibles pour eux. Les programmes de ce type les plus utilisés en Russie sont ADINF et AVP Inspector.

2.3 Bloqueurs.

Les bloqueurs antivirus sont des programmes résidents qui interceptent les situations « dangereuses pour les virus » et en informent l'utilisateur. Les appels « dangereux pour les virus » incluent les appels à ouvrir pour écrire dans des fichiers exécutables, écrire dans les secteurs de démarrage des disques ou le MBR d'un disque dur, les tentatives des programmes de rester résidents, etc., c'est-à-dire les appels typiques pour les virus. au moment de la reproduction. Parfois, certaines fonctions de blocage sont implémentées dans les scanners résidents.

Les avantages des bloqueurs incluent leur capacité à détecter et à arrêter un virus au stade le plus précoce de sa reproduction, ce qui, soit dit en passant, est très utile dans les cas où un virus connu de longue date "sort constamment de nulle part". Les inconvénients incluent l'existence de moyens de contourner la protection des bloqueurs et un grand nombre de faux positifs, ce qui, apparemment, était la raison du refus presque complet des utilisateurs de ce type de programmes antivirus (par exemple, pas un seul bloqueur pour Windows95 / NT est connu - il n'y a pas de demande, il n'y a pas d'offre).

Il est également nécessaire de noter une telle direction des outils antivirus comme les bloqueurs d'antivirus, réalisés sous la forme de composants matériels informatiques («matériel»). La plus courante est la protection en écriture intégrée au BIOS dans le MBR du disque dur. Cependant, comme dans le cas des bloqueurs de logiciels, une telle protection peut être facilement contournée en écrivant directement sur les ports du contrôleur de disque, et l'exécution de l'utilitaire FDISK DOS provoque immédiatement un "faux positif" de protection.

Il existe plusieurs bloqueurs matériels plus polyvalents, mais les inconvénients énumérés ci-dessus s'accompagnent également de problèmes de compatibilité avec les configurations informatiques standard et de difficultés à les installer et à les configurer. Tout cela rend les bloqueurs matériels extrêmement impopulaires par rapport aux autres types de protection antivirus.

2.4 Immunisateurs.

Les vaccinateurs sont des programmes qui écrivent des codes à d'autres programmes qui signalent une infection. Ils écrivent généralement ces codes à la fin des fichiers (comme un virus de fichier) et chaque fois qu'ils exécutent le fichier, ils vérifient les modifications. Ils n'ont qu'un seul inconvénient, mais il est mortel : l'impossibilité absolue de signaler une infection par un virus furtif. Par conséquent, ces immunisants, ainsi que les bloqueurs, ne sont pratiquement pas utilisés à l'heure actuelle. De plus, de nombreux programmes développés récemment vérifient eux-mêmes leur intégrité et peuvent confondre les codes qui y sont intégrés avec des virus et refuser de fonctionner.

Les principales fonctions des antivirus les plus courants.

Dr antivirus La toile.

Dr. Web est un antivirus ancien et à juste titre populaire en Russie qui aide les utilisateurs dans la lutte contre les virus depuis plusieurs années. Les nouvelles versions du programme (DrWeb32) fonctionnent sur plusieurs systèmes d'exploitation, protégeant les utilisateurs de plus de 17 000 virus.

L'ensemble des fonctions est assez standard pour un antivirus - analyse des fichiers (y compris compressés programmes spéciaux et archivés), la mémoire, les secteurs de démarrage des disques durs et des disquettes. Les chevaux de Troie, en règle générale, ne sont pas sujets à la guérison, mais à la suppression. Malheureusement, les formats de courrier ne sont pas vérifiés, donc immédiatement après avoir reçu un e-mail, il est impossible de savoir s'il y a un virus dans la pièce jointe. La pièce jointe devra être enregistrée sur le disque et vérifiée séparément. Cependant, le moniteur résident "Spider Guard" fourni avec le programme vous permet de résoudre ce problème à la volée.

Dr. Web est l'un des premiers programmes dans lesquels l'analyse heuristique a été implémentée, ce qui vous permet de détecter les virus qui ne sont pas répertoriés dans la base de données antivirus. L'analyseur détecte les instructions de type virus dans un programme et marque un tel programme comme suspect. La base de données antivirus est mise à jour via Internet en un clic. La version gratuite du programme n'effectue pas d'analyse heuristique et ne désinfecte pas les fichiers.

Kaspersky Anti-Virus.

L'Inspector surveille toutes les modifications apportées à votre ordinateur et, si des modifications non autorisées sont détectées dans les fichiers ou dans le registre système, il vous permet de restaurer le contenu du disque et de supprimer les codes malveillants. Inspector ne nécessite pas de mises à jour de la base de données antivirus : le contrôle d'intégrité est effectué sur la base de la prise des empreintes digitales des fichiers d'origine (sommes CRC) et de leur comparaison ultérieure avec les fichiers modifiés. Contrairement à d'autres auditeurs, Inspector prend en charge tous les formats de fichiers exécutables les plus populaires.

L'analyseur heuristique permet de protéger votre ordinateur même des virus inconnus.

L'intercepteur de virus en arrière-plan Monitor, présent en permanence dans la mémoire de l'ordinateur, effectue une analyse antivirus de tous les fichiers au moment où ils sont lancés, créés ou copiés, ce qui vous permet de contrôler toutes les opérations sur les fichiers et d'empêcher l'infection même par les plus avancés technologiquement virus.

Le filtrage antivirus des e-mails empêche les virus de pénétrer dans votre ordinateur. Le plug-in Mail Checker supprime non seulement les virus du corps d'un e-mail, mais restaure également complètement le contenu original des e-mails. Une analyse complète de la correspondance électronique empêche un virus de se cacher dans l'un des éléments d'un e-mail en analysant toutes les sections des messages entrants et sortants, y compris les fichiers joints (y compris archivés et emballés) et d'autres messages de tout niveau d'imbrication.

Le scanner antivirus Scanner permet d'effectuer une analyse complète de l'intégralité du contenu des lecteurs locaux et réseau à la demande.

L'intercepteur Script Checker fournit des vérifications antivirus de tous les scripts en cours d'exécution avant leur exécution.

La prise en charge des fichiers archivés et compressés permet de supprimer le code malveillant d'un fichier compressé infecté.

L'isolement des objets infectés permet d'isoler les objets infectés et suspects avec leur transfert ultérieur vers un répertoire spécialement organisé pour une analyse et une récupération plus poussées.

L'automatisation de la protection antivirus vous permet de créer un calendrier et un ordre des composants du programme ; télécharger et connecter automatiquement les nouvelles mises à jour de la base de données antivirus via Internet ; envoyer des avertissements sur les attaques de virus détectées par e-mail, etc.

Kit d'outils antivirus antivirus Pro.

Antiviral Toolkit Pro est un produit russe qui a gagné en popularité à l'étranger et en Russie en raison de ses capacités les plus étendues et de sa grande fiabilité. Il existe des versions du programme pour les systèmes d'exploitation les plus populaires, la base de données antivirus contient environ 34 000 virus.

Il existe plusieurs options de livraison - AVP Lite, AVP Gold, AVP Platinum. La version la plus complète comprend trois produits : un scanner, un moniteur résident et un centre de contrôle. Le scanner vous permet de vérifier les fichiers et la mémoire pour les virus et les chevaux de Troie. Cela analyse les programmes emballés, les archives, les bases de données de messagerie (dossiers Outlook, etc.) et effectue une analyse heuristique pour trouver de nouveaux virus non inclus dans la base de données. Le moniteur à la volée vérifie la présence de virus dans chaque fichier ouvert et avertit des menaces de virus, tout en bloquant l'accès au fichier infecté. Le Centre de contrôle vous permet de programmer des analyses antivirus et de mettre à jour les bases de données via Internet. La version de démonstration n'a pas la capacité de désinfecter les objets infectés, d'analyser les fichiers compressés et archivés et d'effectuer une analyse heuristique.

Norton Antivirus 2000.

Norton AntiVirus est basé sur un autre produit populaire - le pare-feu personnel AtGuard (@guard) de WRQ Soft. À la suite de l'application de la puissance technologique de Symantec, un produit intégré avec des fonctionnalités considérablement étendues s'est avéré. Le cœur du système est toujours le pare-feu. Il fonctionne très efficacement sans configuration, pratiquement sans interférer avec l'utilisation quotidienne du réseau, mais en bloquant les tentatives de redémarrage ou de "blocage" de l'ordinateur, d'accès aux fichiers et aux imprimantes et d'établissement du contact avec les chevaux de Troie sur l'ordinateur.

Norton AntiVirus est le seul pare-feu que nous avons examiné qui implémente les capacités de cette méthode de protection (qui) est de 100 %. Le filtrage de tous les types de paquets transitant par le réseau est effectué, incl. service (ICMP), les règles du pare-feu peuvent prendre en compte quelle application fonctionne avec le réseau, quel type de données est transmis et à quel ordinateur, à quelle heure de la journée cela se produit.

Pour préserver des données confidentielles, le pare-feu peut bloquer l'envoi d'adresses e-mail vers des serveurs web, tels que le navigateur, il est également possible de bloquer les cookies. Le filtre d'informations confidentielles avertit d'une tentative d'envoi d'informations non cryptées sur le réseau que l'utilisateur a saisies et marquées comme confidentielles.

Le contenu actif sur les pages Web (applets Java, scripts, etc.) peut également être bloqué par Norton AntiVirus - le filtre de contenu peut supprimer les éléments non sécurisés du texte des pages Web avant qu'ils n'atteignent le navigateur.

En tant que service supplémentaire qui n'est pas directement lié aux problèmes de sécurité, Norton AntiVirus propose un filtre très pratique pour les bannières publicitaires (ces images gênantes sont simplement coupées de la page, ce qui accélère son chargement), ainsi qu'un système de contrôle parental. En interdisant la visite de certaines catégories de sites et le lancement de certains types d'applications Internet, vous pouvez être assez serein sur le contenu du réseau accessible aux enfants.

En plus des capacités de pare-feu, Norton AntiVirus offre à l'utilisateur la protection du programme Norton Antivirus. Cette application antivirus populaire avec des bases de données antivirus régulièrement mises à jour vous permet de détecter de manière assez fiable les virus dès les premiers stades de leur apparition. Tous les fichiers téléchargés depuis le réseau, les fichiers joints aux e-mails, les éléments actifs des pages Web sont analysés pour détecter les virus. En outre, Norton Antivirus dispose d'un analyseur de virus et d'un moniteur qui fournit une protection antivirus à l'échelle du système sans être lié à l'accès au réseau.

Conclusion:

En me familiarisant avec la littérature, j'ai atteint mon objectif et j'ai tiré les conclusions suivantes:

aucun antivirus ne garantit une protection à 100 % contre les virus ;

protection informations et sécurité de l'information (2)
Résumé >> Informatique
... protection informations(juridique protection informations, technique protection informations, protectionéconomique informations etc.). Méthodes organisationnelles protection informations et protection informations en Russie ont les propriétés suivantes : Méthodes et fonds protection informations ...

L'une des conditions d'un travail en toute sécurité dans le système d'information est le respect par l'utilisateur d'un certain nombre de règles qui ont fait leurs preuves dans la pratique et ont montré leur grande efficacité. Il y en a plusieurs :

Utilisation de produits logiciels obtenus par des moyens officiels légaux. La probabilité d'avoir un virus dans une copie piratée est plusieurs fois plus élevée que dans un logiciel obtenu officiellement.
dédoublement d'informations. Tout d'abord, vous devez enregistrer le support de distribution du logiciel. Dans le même temps, l'écriture sur un support qui permet cette opération doit être bloquée, si possible. Une attention particulière doit être portée à la préservation des informations de travail. Il est préférable de créer régulièrement des copies des fichiers de travail sur des supports de stockage amovibles protégés en écriture. Soit le fichier entier est copié, soit seules les modifications apportées. Cette dernière option est applicable, par exemple, lorsque vous travaillez avec des bases de données.
Mises à jour régulières du logiciel système. Le système d'exploitation doit être régulièrement mis à jour et tous les correctifs de sécurité de Microsoft et d'autres fournisseurs doivent être installés pour remédier aux vulnérabilités logicielles existantes.
Restreindre l'accès des utilisateurs aux paramètres du système d'exploitation et aux données système. Pour assurer le fonctionnement stable du système, il est souvent nécessaire de limiter les capacités des utilisateurs, ce qui peut être fait soit à l'aide des outils Windows intégrés, soit à l'aide de programmes spécialisés conçus pour contrôler l'accès à un ordinateur.
Dans les réseaux d'entreprise, il est possible d'appliquer des stratégies de groupe dans un réseau de domaine Windows.
Pour une utilisation optimale des ressources réseau, il est nécessaire de restreindre l'accès des utilisateurs autorisés aux ressources réseau internes et externes et de bloquer l'accès des utilisateurs non autorisés.
Utilisation régulière d'outils antivirus. Avant de commencer le travail, il est conseillé d'exécuter des programmes de scanner et des programmes d'audit. Les bases de données antivirus doivent être mises à jour régulièrement. De plus, il est nécessaire d'effectuer un contrôle antivirus du trafic réseau.
La protection contre les intrusions sur le réseau est assurée par l'utilisation de logiciels et de matériels, notamment : l'utilisation de pare-feu, de systèmes de détection/prévention d'intrusion IDS/IPS (Intrusion Detection/Prevention System), la mise en œuvre de technologies VPN (Virtual Private Network).
Utilisation d'outils d'authentification et de cryptographie - l'utilisation de mots de passe (simples / complexes / non répétitifs) et de méthodes de cryptage. Il n'est pas recommandé d'utiliser le même mot de passe sur différentes ressources et de divulguer des informations sur les mots de passe. Lorsque vous écrivez un mot de passe sur des sites, vous devez faire particulièrement attention à ne pas laisser entrer votre mot de passe sur un site frauduleux en double.
Des précautions particulières doivent être prises lors de l'utilisation de nouveaux supports amovibles (inconnus) et de nouveaux fichiers. Les nouveaux supports amovibles doivent être vérifiés pour l'absence de virus de démarrage et de fichiers, et les fichiers reçus - pour la présence de virus de fichiers. Lorsque vous travaillez dans des systèmes distribués ou dans des systèmes à usage collectif, il est conseillé de vérifier les nouveaux supports amovibles et fichiers introduits dans le système sur des ordinateurs spécialement affectés à cet effet et non connectés à réseau local. Ce n'est qu'après une analyse antivirus complète des disques et des fichiers qu'ils peuvent être transférés aux utilisateurs du système.
Lorsque vous travaillez avec des documents et des tableaux reçus (par exemple, par e-mail), il est conseillé d'interdire l'exécution de macro-commandes par des moyens intégrés aux éditeurs de texte et de tableur (MS Word, MS Excel) jusqu'à ce que l'analyse complète de ces fichiers soit terminée. .
Si vous n'avez pas l'intention d'écrire des informations sur un support externe, vous devez bloquer cette opération, par exemple en désactivant par programme les ports USB.
Lorsque vous travaillez avec des ressources partagées sur des réseaux ouverts (par exemple, Internet), utilisez uniquement des ressources réseau vérifiées qui ne contiennent pas de contenu malveillant. Vous ne devez pas faire confiance à toutes les informations qui arrivent sur votre ordinateur - e-mails, liens vers des sites Web, messages vers des téléavertisseurs Internet. Il est strictement déconseillé d'ouvrir des fichiers et des liens provenant d'une source inconnue.

Le respect constant des recommandations ci-dessus peut réduire considérablement le risque d'infection par des virus logiciels et protège l'utilisateur contre la perte irrémédiable d'informations. Cependant, même avec une mise en œuvre scrupuleuse de toutes les règles de prévention, la possibilité d'une infection du PC par des virus informatiques ne peut être complètement exclue, par conséquent, les méthodes et les moyens de lutte contre les logiciels malveillants doivent être constamment améliorés et maintenus en état de fonctionnement.

Outils antivirus de protection des informations

La diffusion massive de logiciels malveillants, la gravité des conséquences de leur impact sur les systèmes d'information et les réseaux ont nécessité le développement et l'utilisation de outils antivirus et les modalités de leur application.

Il convient de noter qu'il n'existe aucun outil antivirus garantissant la détection de tous les programmes de virus possibles.

Les outils antivirus sont utilisés pour résoudre les tâches suivantes :

détection de logiciels malveillants dans les systèmes d'information ;
bloquer le fonctionnement des logiciels malveillants ;
l'élimination des conséquences de l'exposition aux logiciels malveillants.

Il est souhaitable de détecter les logiciels malveillants au stade de leur introduction dans le système, ou au moins avant qu'ils ne commencent à effectuer des actions destructrices. Si un tel logiciel ou ses activités sont détectés, le programme antivirus doit être arrêté immédiatement afin de minimiser les dommages résultant de son impact sur le système.

L'élimination des conséquences de l'exposition aux virus s'effectue dans deux directions:

suppression de virus ;
récupération (si nécessaire) de fichiers, zones mémoire.

La procédure de suppression du code malveillant détecté d'un système infecté doit être effectuée avec beaucoup de soin. Les virus et les chevaux de Troie prennent souvent des mesures spéciales pour dissimuler leur présence dans un système, ou s'y incrustent si profondément que la tâche de le détruire devient tout à fait non triviale.

La récupération du système dépend du type de virus, ainsi que du moment de sa détection par rapport au début des actions destructrices. Dans le cas où un programme antivirus est déjà en cours d'exécution dans le système et que son activité implique la modification ou la suppression de données, la restauration des informations (surtout si elles ne sont pas dupliquées) peut être impossible.Pour lutter contre les virus, des logiciels et des micrologiciels sont utilisés qui sont utilisés dans un certaine séquence et combinaison, formant des méthodes de protection contre les logiciels malveillants.

Les méthodes de détection de virus suivantes sont largement utilisées par les outils antivirus modernes :

balayage;
détection de changement ;
analyse heuristique;
recours à des gardiens résidents ;
utilisation de protection logicielle et matérielle contre les virus.

Balayage- l'une des méthodes les plus simples pour détecter les virus, est réalisée par un programme d'analyse qui analyse les fichiers à la recherche de la partie de reconnaissance du virus - signatures. Une signature est une séquence unique d'octets qui appartient à un virus particulier et qui ne se trouve pas dans d'autres programmes.

Le programme détecte la présence de virus déjà connus pour lesquels la signature est définie. Pour utiliser efficacement les programmes antivirus qui utilisent la méthode d'analyse, il est nécessaire de mettre régulièrement à jour les informations sur les nouveaux virus.

Méthode détection de changement est basé sur l'utilisation de programmes d'audit qui surveillent les changements dans les fichiers et les secteurs de disque sur un ordinateur. Tout virus modifie en quelque sorte le système de données sur le disque. Par exemple, le secteur de démarrage peut changer, un nouveau fichier exécutable peut apparaître, ou un fichier existant peut changer, etc.

En règle générale, les programmes d'audit antivirus déterminent et stockent dans des fichiers spéciaux des images de l'enregistrement de démarrage principal, des secteurs de démarrage des disques logiques, des caractéristiques de tous les fichiers surveillés, des répertoires et des numéros de clusters de disques défectueux. Périodiquement, l'auditeur vérifie l'état actuel des zones du disque et du système de fichiers, le compare avec l'état précédent et émet immédiatement des messages sur toutes les modifications suspectes.

Le principal avantage de la méthode est la capacité de détecter des virus de tous types, ainsi que de nouveaux virus inconnus.

Cette méthode présente également des inconvénients. Avec l'aide de programmes d'audit, il est impossible de détecter un virus dans des fichiers qui entrent dans le système déjà infectés. Les virus ne seront détectés qu'après leur multiplication dans le système.

Analyse heuristique, comme la méthode de détection des modifications, vous permet de détecter les virus inconnus, mais ne nécessite pas la collecte, le traitement et le stockage préliminaires d'informations sur le système de fichiers.

L'analyse heuristique dans les programmes antivirus est basée sur les signatures et un algorithme heuristique, conçu pour améliorer la capacité des programmes de scanner à appliquer des signatures et à reconnaître les versions modifiées de virus dans les cas où le code d'un programme inconnu ne correspond pas complètement à la signature, mais des signes plus généraux d'un virus sont clairement exprimés dans un programme suspect, ou son comportement. Si de tels codes sont détectés, un message concernant une éventuelle infection s'affiche. Après avoir reçu de tels messages, il est nécessaire de vérifier soigneusement les fichiers supposés infectés et les secteurs de démarrage avec tous les outils antivirus disponibles.

L'inconvénient de cette méthode est un grand nombre de faux positifs d'outils antivirus dans les cas où un programme légal contient des fragments de code qui effectuent des actions et/ou des séquences caractéristiques de certains virus.

Méthode recours à des gardiens résidents est basé sur l'utilisation de programmes qui sont constamment dans la RAM de l'appareil (ordinateur) et surveillent toutes les actions effectuées par d'autres programmes. Si un programme effectue des actions suspectes typiques des virus (accès en écriture dans les secteurs de démarrage, placement de modules résidents dans la RAM, tentatives d'interception d'interruptions, etc.), le gardien résident envoie un message à l'utilisateur.

L'utilisation de programmes antivirus avec un chien de garde résident réduit la probabilité que des virus s'exécutent sur l'ordinateur, mais gardez à l'esprit que l'utilisation constante des ressources RAM pour les programmes résidents réduit la quantité de mémoire disponible pour les autres programmes.

A ce jour, l'un des mécanismes les plus fiables de protection des systèmes et réseaux d'information est logiciel et matériel, en règle générale, comprenant non seulement des systèmes antivirus, mais également des services supplémentaires. Ce sujet est traité en détail dans la section "Logiciels et matériels pour assurer la sécurité des réseaux d'information".

Protection des données - il s'agit de l'utilisation de divers moyens et méthodes, de l'utilisation de mesures et de la mise en œuvre de mesures afin d'assurer la fiabilité des informations transmises, stockées et traitées.

Le problème de la sécurité de l'information dans les systèmes de traitement électronique des données s'est posé presque simultanément à leur création. Cela a été causé par des faits spécifiques d'actions malveillantes avec des informations.

Si au cours des premières décennies d'utilisation active d'un PC, le principal danger était représenté par les pirates informatiques qui se connectaient aux ordinateurs principalement via le réseau téléphonique, alors au cours de la dernière décennie, la violation de la fiabilité des informations a progressé à travers les programmes, les virus informatiques et l'Internet mondial.

Il y en a assez méthodes d'accès non autoriséà l'information, y compris : la visualisation ; copie et substitution de données; entrée de faux programmes et messages à la suite de la connexion à des canaux de communication ; lire les restes d'informations sur ses supports ; réception de signaux de rayonnement électromagnétique et de nature ondulatoire ; l'utilisation de programmes spéciaux.

1. Moyens d'identification et différenciation de l'accès à l'information

L'un des domaines les plus développés pour assurer la sécurité de l'information est l'identification et l'authentification des documents basés sur la signature numérique électronique.

2. Méthode cryptographique de protection des informations

Le moyen le plus efficace d'améliorer la sécurité est la transformation cryptographique.

3. Virus informatiques

Destruction de la structure du fichier ;

Allumez le voyant du lecteur lorsqu'il n'est pas accessible.

Les disques amovibles (disquettes et CD-ROM) et les réseaux informatiques sont généralement les principaux moyens d'infecter les ordinateurs avec des virus. Infection disque dur ordinateur peut se produire si l'ordinateur est démarré à partir d'une disquette contenant un virus.

Selon le type d'habitat qu'ont les virus, ils sont classés en boot, file, system, network et file-boot (multifonctionnel).

Virus de démarrage sont intégrés dans le secteur de démarrage du disque ou dans le secteur qui contient le programme de démarrage du disque système.

Virus de fichiers sont placés principalement dans des fichiers exécutables avec l'extension .COM et .EXE.

Virus système intégré dans les modules système et les pilotes de périphériques, les tables d'allocation de fichiers et les tables de partition.

Virus de réseau sont dans des réseaux informatiques, et fichier-boot - infecter les secteurs de démarrage du disque et les fichiers du programme d'application.

Les virus sont divisés en virus résidents et non-résidents en cours d'infection de l'habitat.

Virus résidents lorsqu'ils infectent un ordinateur, ils laissent leur partie résidente dans le système d'exploitation, qui, après l'infection, intercepte les appels du système d'exploitation vers d'autres objets d'infection, les infiltre et effectue ses actions destructrices, ce qui peut entraîner l'arrêt ou le redémarrage de l'ordinateur. Virus non résidents n'infectent pas le système d'exploitation de l'ordinateur et sont actifs pendant une durée limitée.

La particularité de la construction des virus affecte leur manifestation et leur fonctionnement.

bombe logique est un programme qui est intégré dans un grand progiciel. Il est inoffensif jusqu'à ce qu'un certain événement se produise, après quoi son mécanisme logique est mis en œuvre.

programmes mutants, auto-reproduction, créer des copies clairement différentes de l'original.

virus invisibles, ou des virus furtifs, interceptent les appels du système d'exploitation vers les fichiers et les secteurs de disque affectés et remplacent les objets non infectés à leur place. Lors de l'accès aux fichiers, ces virus utilisent des algorithmes assez originaux qui leur permettent de "tromper" les antivirus résidents.

Macrovirus utiliser les fonctionnalités du langage macro qui sont intégrées dans programmes de bureau traitement de données (éditeurs de texte, tableurs).

Par le degré d'impact sur les ressources des systèmes et réseaux informatiques, ou par les capacités destructrices, on distingue les virus inoffensifs, non dangereux, dangereux et destructeurs.

Virus inoffensifs n'ont pas d'effet pathologique sur le fonctionnement de l'ordinateur. Virus non dangereux ne détruisez pas les fichiers, mais réduisez l'espace disque libre, affichez les effets graphiques. Virus dangereux causent souvent des perturbations importantes à l'ordinateur. Virus destructeurs peut entraîner l'effacement d'informations, la perturbation totale ou partielle des programmes applicatifs. Il est important de garder à l'esprit que tout fichier capable de charger et d'exécuter du code de programme est un emplacement potentiel pour un virus.

4. Programmes antivirus

La large diffusion des virus informatiques a conduit au développement de programmes antivirus qui vous permettent de détecter et de détruire les virus, de "guérir" les ressources affectées.

La base de la plupart des programmes antivirus est le principe de recherche des signatures de virus. Signature virale nommer une caractéristique unique d'un programme antivirus qui indique la présence d'un virus dans un système informatique.

Selon leur fonctionnement, les programmes antivirus peuvent être divisés en filtres, auditeurs, médecins, détecteurs, vaccins, etc.

Filtrer les programmes - ce sont les "gardiens" qui sont constamment dans le PO. Ils sont résidents et interceptent toutes les demandes adressées au système d'exploitation pour effectuer des actions suspectes, c'est-à-dire des opérations qui utilisent des virus pour reproduire et endommager les informations et les ressources logicielles de l'ordinateur, y compris le reformatage du disque dur. Parmi eux figurent les tentatives de modification des attributs de fichier, de correction des fichiers COM ou EXE exécutables, d'écriture sur les secteurs de démarrage du disque.

La présence constante de programmes « chien de garde » dans le PO réduit considérablement son volume, ce qui est le principal inconvénient de ces programmes. De plus, les programmes de filtrage ne sont pas capables de "traiter" les fichiers ou les disques. Cette fonction est exécutée par d'autres programmes antivirus, tels que AVP, Norton Antivirus pour Windows, Thunder Byte Professional, McAfee Virus Scan.

Programmes d'audit sont un moyen fiable de protection contre les virus. Ils se souviennent de l'état initial des programmes, des répertoires et des zones système du disque, à condition que l'ordinateur n'ait pas encore été infecté par un virus. Par la suite, le programme compare périodiquement l'état actuel avec l'original. Si des incohérences sont constatées (par longueur de fichier, date de modification, code de contrôle du cycle de fichier), un message à ce sujet apparaît sur l'écran de l'ordinateur. Parmi les programmes d'audit, on peut citer le programme Adinf et son ajout sous la forme du module Adinf cure.

Programme de docteur est capable non seulement de détecter, mais aussi de "guérir" les programmes ou disques infectés. Ce faisant, il détruit les programmes infectés du corps du virus. Les programmes de ce type peuvent être divisés en phages et polyphages. Phage - Ce sont des programmes qui sont utilisés pour trouver des virus d'un certain type. Polyphages conçu pour détecter et détruire une grande variété de virus. Dans notre pays, les polyphages tels que MS Antivirus, Aidstest, Doctor Web sont les plus couramment utilisés. Ils sont continuellement mis à jour pour faire face aux nouveaux virus émergents.

Programmes-détecteurs sont capables de détecter les fichiers infectés par un ou plusieurs virus connus des développeurs de logiciels.

programmes de vaccination, ou vaccinateurs, appartiennent à la classe des programmes résidents. Ils modifient les programmes et les disques d'une manière qui n'affecte pas leur fonctionnement. Cependant, le virus contre lequel ils sont vaccinés les considère déjà infectés et ne les infecte pas. À l'heure actuelle, de nombreux programmes antivirus ont été développés qui ont reçu une large reconnaissance et sont constamment mis à jour avec de nouveaux outils pour lutter contre les virus.

5. Sécurité des données dans un environnement interactif

Les environnements interactifs sont vulnérables en termes de sécurité des données. Un exemple de médias interactifs est l'un des systèmes dotés de capacités de communication, tels que le courrier électronique, les réseaux informatiques, Internet.

Afin de protéger les informations contre les éléments hooligans, les utilisateurs non qualifiés et les criminels, le système Internet utilise un système de droits ou de contrôle d'accès.

Devoir : résumé, répondre aux questions de l'étudiant Tsv., p. 176, question. 3, 4 et 5.

Donc - c'est arrivé. Le nouveau millénaire est dans la cour. L'« âge du progrès et du progressisme », le temps de l'industrialisation et des premiers pas timides sont dépassés technologies de l'information. Pour la première fois, l'humanité a pu obtenir plus d'informations qu'elle n'a pu en comprendre. L'information est devenue l'une des plus grandes valeurs, faisant honte au méprisable métal jaune, qui pendant des siècles a été une mesure de la position d'une personne dans la société. Cela a conduit à un changement majeur dans les concepts de sécurité et a donné lieu à un certain nombre de problèmes très spécifiques tels que les virus informatiques.

Contrairement aux équivalents traditionnels, les informations sont très faciles à voler. Dans le même temps, le processus de vol (copie) peut très bien passer inaperçu pour son propriétaire légitime. Nous laisserons ce problème pour un examen séparé, et aujourd'hui nous examinerons les moyens de protéger les informations contre les influences malveillantes externes, qui visent la modification et la destruction non autorisées des informations. Conformément à la terminologie établie, ces programmes malveillants sont appelés virus informatiques. Laissons de côté l'aspect éthique des motivations qui animaient les créateurs de virus, et concentrons-nous sur le problème de la protection des informations contre leur influence néfaste.

Comme vous le savez, pour gagner la bataille, vous devez avoir une idée claire de l'ennemi et de ses capacités. Il est inacceptable de se faire des illusions sur ses capacités. Si vous croyez sincèrement aux films dans lesquels le protagoniste devine un mot de passe de 20 caractères au troisième essai ou un CD inséré explose lorsque le mot de passe est mal spécifié, la suite de cet article ne vous est pas adressée. Néanmoins, on entend souvent parler de virus qui causent des dommages physiques à un ordinateur, par exemple en faisant résonner les têtes de disque dur, ce qui entraîne sa destruction. Je vais faire une réservation tout de suite qu'un tel virus existe - c'est le tristement célèbre Win95.CIH. Il détruit la mémoire du BIOS (Basic Input/Output System), qui détermine la logique même de fonctionnement de l'ordinateur. Dans le même temps, les dommages causés sont assez facilement corrigés, même à la maison. De plus, la prévention de sa principale fonction destructrice est assez simple - il suffit d'interdire la mise à jour du BIOS dans le programme d'installation. Heureusement, la grande majorité des virus ne sont pas aussi sophistiqués et se contentent d'endommager les informations et de se propager davantage.

Essayons maintenant de systématiser toutes nos connaissances sur l'ennemi et de désigner les lignes de défense. En même temps, on ne peut pas se limiter à un seul mur, même le plus fort. Le principe général de la protection des bâtiments peut être emprunté aux militaires. Toutes les informations entrantes et sortantes doivent être soigneusement vérifiées pour détecter toute infection par des virus connus. Il est nécessaire de surveiller à la fois les moyens traditionnels (disquettes) et les nouveaux moyens (e-mail, Internet) pour que les virus pénètrent dans la zone protégée. De plus, il est nécessaire d'effectuer des patrouilles régulières dans la zone protégée afin de rechercher des traces d'activité ennemie. Si l'ennemi pénètre dans la zone protégée, il est nécessaire de protéger séparément tous les objets clés (fichiers système). De plus, vous devez effectuer une reconnaissance régulière (mise à jour de la base de données virale) et vérifier l'état de préparation et le fonctionnement du système. À première vue, tout est assez simple: un complexe antivirus avec la fonction de calcul des sommes de contrôle des fichiers et un moniteur résident avec une probabilité assez élevée nous protégeront de tout malheur. Naturellement, uniquement si la liste des virus est mise à jour régulièrement. Si le virus a encore fui à travers le périmètre extérieur, l'alarme sera le changement de fichiers "immuables". Ce schéma garantit une probabilité d'environ 85% de détecter l'ennemi même à la frontière de la zone protégée et une probabilité de 99% de détecter le fait de sa pénétration à l'intérieur du périmètre de protection. Dans la plupart des cas, cela suffit.

La situation considérée est représentée par le point de vue du "lieutenant des troupes anti-virus", dont la tâche est de défendre un petit objet. Cette approche est inacceptable lorsque vous devez sécuriser une installation plus grande comprenant plusieurs ordinateurs. La situation est grandement compliquée par la disponibilité de l'accès à Internet. Naturellement, le plus d'une manière simple La « solution » à ce problème sera l'application ennuyeuse de la méthodologie ci-dessus, ajustée pour le nombre accru de « zones de responsabilité ». En conséquence, nous aurons l'Amérique du Nord pendant les guerres avec les Indiens : forts fortifiés, et autour - l'inconnu ! Dans ce cas, toute information transmise entre ordinateurs peut être endommagée de manière irréversible lors du processus de transmission sur un territoire "no man". Par conséquent, nous essaierons de formuler de nouveaux principes de protection, basés sur la zone de responsabilité élargie et l'augmentation du nombre de routes d'invasion. A titre d'exemple, considérons les infrastructures de réseau, dont la première appartient à l'un des plus grands holdings d'édition, et la seconde est déployée dans la maison d'édition ComputerPress (voir encadré).

Comme d'habitude, nous procédons d'abord à une évaluation des voies de pénétration probables des virus. Pendant de nombreuses années, le moyen le plus courant d'infecter un ordinateur était une disquette. Avec la croissance des réseaux mondiaux, la paume s'est déplacée vers Internet et le système de courrier électronique. Néanmoins, vous ne devez pas négliger la manière "classique" de contracter une infection. Ainsi, le virus peut entrer ordinateur local utilisateur de la manière suivante :

Directement via une disquette, un CD, une boîte aux lettres distante - la manière classique.
Via le système de messagerie de l'entreprise.
Via un canal d'entreprise d'accès au système Internet.
Depuis un serveur d'entreprise.

Essayons maintenant de formuler les principes de notre stratégie défensive : il est possible de bloquer toutes les directions de pénétration de l'infection ou seulement une partie d'entre elles. Par exemple, vous pouvez protéger les postes de travail et les serveurs (option A) en laissant à découvert le canal d'accès à Internet et le système de messagerie. Et cela ne réduira pas considérablement la sécurité globale du système - seule la pénétration sera déterminée et arrêtée directement aux postes de travail. Cependant, dans le même temps, la charge sur "l'intelligence" augmente fortement - tous les postes de travail doivent recevoir régulièrement des mises à jour du programme antivirus et de la base de données virale. Dans le cas de l'organisation d'une protection complète (option B), la charge est répartie plus uniformément entre tous les sous-systèmes de protection.

Maintenant que la stratégie générale a été esquissée, considérons la question de la gestion du système dans son ensemble. Malgré toute sa simplicité apparente, cette question est l'une des plus déterminantes. Il n'y a que deux options possibles : le contrôle centralisé de l'ensemble du système et le contrôle local. Chacun d'eux a ses propres avantages et inconvénients. Les encarts montrent des exemples concrets de contrôle centralisé et local de la protection antivirus, sur la base desquels on peut conclure que le contrôle centralisé est avantageux en cas de grand nombre de postes de travail, ainsi que la présence d'un flux notable de informations à vérifier. De plus, il existe des dangers supplémentaires causés par des facteurs tels que la présence d'informations confidentielles et la présence d'employés entrants, ainsi que le niveau de connaissances informatiques de ces derniers. Mon expérience dans les structures gouvernementales et commerciales a rapidement dissipé tout espoir à cet égard - sous mes yeux, des employés ont tenté de lancer FDISK.EXE afin d'augmenter la vitesse de l'ordinateur, en suivant les instructions envoyées par un inconnu via e- courrier. Dans le même temps, toutes les tentatives d'interpellation d'une personne provoquaient un flot de remarques caustiques sur mes compétences professionnelles et l'étendue de mes horizons. Naturellement, tous ces facteurs augmentent les exigences tant pour le système dans son ensemble que pour son organisation. Cependant, la question de l'organisation de la protection antivirus a aussi un aspect financier. Il est insensé de déployer un système de plusieurs milliers de dollars pour protéger cinq ordinateurs dans une petite entreprise. En revanche, lorsque la direction commence à lésiner même sur sa propre sécurité, une situation similaire à celle d'une grande maison d'édition se présente (voir encadré 1). Par conséquent, le bon sens et une conscience sobre de la situation doivent être présents en tout.

Décidons maintenant du choix de systèmes de protection spécifiques, sur la base desquels nous allons construire notre défense. Historiquement, les développements nationaux, tels que AidsTest et Adinf de la société DialogNauka, ainsi que le développement ultérieur du groupe d'Evgeny Kaspersky - AVP, ont été populaires sur le marché intérieur. De plus, une part importante de ce marché dans notre pays est occupée par des produits étrangers tels que Norton Antivirus (Symantec Co.) et MacAfee (Networks Associates Technology, Inc.). Dans le même temps, il est impossible de diviser clairement les segments du marché des logiciels antivirus entre eux en raison de leur grande polyvalence, ainsi que des préférences personnelles des utilisateurs. Néanmoins, certaines tendances peuvent encore être identifiées. Ainsi, la plupart des utilisateurs de systèmes d'exploitation de la famille MS-DOS et des premières versions de MS Windows (jusqu'à 3.11) utilisent le "tandem" antivirus de DialogScience, et les utilisateurs satisfaits des anciennes versions de MS Windows optent pour des systèmes antivirus. du groupe Kaspersky et Symantec. Dans ce cas, le choix est souvent basé sur les préférences personnelles et l'expérience antérieure. Par exemple, lorsque le problème de l'organisation de la protection antivirus du système d'information de la maison d'édition ComputerPress a été résolu, la question des logiciels n'a même pas été soulevée. Le choix serait évident - Norton Antivirus Corporate Edition.

La préhistoire de ce choix remonte à 1994, lorsque les développements nationaux en matière d'antivirus ont cédé à une infection étrangère introduite dans un ordinateur domestique par une disquette en provenance des États-Unis. Dans un accès de désespoir, le seul guérisseur étranger a été acheté au magasin Biblio-Globus (qui se trouve sur Myasnitskaya), qui s'est avéré être Norton Antivirus 2.0. Dans les années qui ont suivi, j'ai été témoin de l'évolution de ce produit de mes propres yeux. Cependant, comme il ne réagissait pas toujours aux virus domestiques, il n'était pas possible de se séparer immédiatement de AidsTest, Adinf et AVP. Cela a conduit à un partage de cinq ans de ces antivirus, offrant une opportunité pour leurs tests comparatifs. En bref, les caractéristiques distinctives des produits peuvent être décrites comme suit :

Adinf. Protège-disque idéal (presque). Vous permet de calculer les sommes de contrôle des fichiers et des zones système du disque dur. Couplé au module de récupération (Adinf Cure Module), il permettait (pas toujours) de récupérer des fichiers infectés par un virus inconnu. En pratique, une telle restauration n'était pas toujours correcte. Cependant, la valeur de ce produit est difficile à surestimer.
SidaTest. Le premier antivirus russe. Recherche rapidement et de manière fiable et, dans la plupart des cas, guérit correctement les virus connus. Parmi ses mérites figure l'arrêt de l'épidémie de virus de la famille Stone (1991-1993) et un certain nombre d'autres, de moindre volume. Pendant de nombreuses années (jusqu'à l'apparition d'Adinf en 1991), il est resté la seule protection des utilisateurs domestiques contre les virus.
AVP. Développement du groupe d'Evgeny Kaspersky (1993). Il est devenu célèbre pour sa capacité à restaurer la grande majorité des fichiers infectés, y compris ceux que les homologues russes et étrangers ont refusé de restaurer.

Dans le contexte d'une triade anti-virus nationale aussi brillante, le développement de Symantec ne s'est d'abord démarqué en aucune façon. Cependant, à partir de la version 3.0, le produit a commencé à acquérir de nouvelles fonctionnalités à chaque nouvelle version, élargissant et améliorant celles existantes. C'est là que des fonctionnalités révolutionnaires ont été utilisées pour la première fois, comme un mécanisme d'analyse heuristique des données pour les instructions "de type virus" et la mise à jour de la base de données antivirus via Internet (Live Update). Soit dit en passant, une telle fonction a été incluse dans les développements nationaux relativement récemment. C'est Symantec qui a été le premier à parvenir à supprimer presque complètement la nécessité de contrôler son fonctionnement dans son complexe. Tout ce qui était demandé à l'utilisateur était un canal d'accès Internet pour les mises à jour automatiques. C'est pourquoi, étant étudiant à l'Université d'État de Moscou et en même temps administrateur du réseau "cathédrale" (composé, soit dit en passant, de cinq ordinateurs, dont le meilleur était P-PRO), j'ai utilisé ce logiciel particulier produit pour assurer la protection des données scientifiques, des articles et de mon diplôme contre les infections virales. Naturellement, je n'ai pas refusé Adinf et j'ai effectué des vérifications régulières d'AidsTest. Cependant, la fonction de contrôle des fichiers et des données ouverts a été attribuée au moniteur antivirus de Norton Antivirus 3.0. Le tournant est survenu en 1998, lorsque, en tant qu'administrateur système de l'un des plus grands fonds d'édition, j'ai déclaré que la liste des définitions de virus dans Norton Antivirus et dans les développements nationaux correspondait parfaitement. Tout cela, en tenant compte d'un fonctionnement plus rapide et de moins d'échecs par rapport aux analogues disponibles, a conduit à la construction de la protection antivirus de l'entreprise selon le schéma A (voir encadré 1) basé sur la version 4.0 du package antivirus de Symantec. Malheureusement, la direction n'a pas jugé possible d'acheter une version plus chère (Corporate Edition) de ce package, ce qui a rendu la protection contre les virus assez difficile pour les ingénieurs du centre de service et a réduit l'efficacité de la protection intégrée. Une expérience plus approfondie a prouvé que Norton Antivirus 4.0 n'est pas une solution viable pour une grande entreprise et que notre demande pour une meilleure version du logiciel antivirus est justifiée. En même temps, sur toute la durée d'utilisation du progiciel décrit ici (plus de deux ans), pas un seul virus n'a réussi à provoquer ne serait-ce qu'une épidémie locale, sans parler de la perte de données. Et ce malgré le fait que le logiciel anti-virus était régulièrement mis à jour exclusivement sur les serveurs. Les postes de travail n'étaient mis à jour qu'occasionnellement, et même lors de déménagements mondiaux et d'autres catastrophes naturelles. De ce fait, certains postes de travail n'ont pas été mis à jour depuis l'installation de l'antivirus sur ceux-ci. Dans le même temps, le système de courrier électronique et le canal d'accès à Internet n'étaient en aucun cas contrôlés. Soit dit en passant, nos voisins (une autre maison d'édition bien connue) ont subi en 1999 une épidémie catastrophique du célèbre Win95.CIH, bien qu'ils aient utilisé un produit anti-virus domestique.

Avec cela, nous mettrons fin à notre conversation sur le passé et tournerons notre regard vers un présent brillant et un avenir brillant.

Au crédit de Symantec, ils ne se sont pas arrêtés là et ont amélioré leur gamme de produits antivirus, ce qui a conduit à la création de nouvelle version systèmes de protection antivirus d'entreprise - Norton Antivirus Corporate Edition 7.01. C'est ce système, après de brèves discussions avec la direction, qui a été adopté par la maison d'édition ComputerPress. Cependant, lors de discussions avec un employé de Symantec, notre choix s'est porté sur deux packages qui représentent une solution antivirus complète au sein de l'organisation, à savoir Norton Antivirus Solution 4.0 et Norton Antivirus Enterprise Solution 4.0. La composition de ces colis est indiquée dans le tableau.

La première impression de la nouvelle version de l'antivirus était ambiguë. Tout d'abord, j'ai été frappé par l'absence quasi totale de toute documentation papier. Une maigre description des étapes initiales ne compte pas. Néanmoins - contrairement à la pratique habituelle, installez d'abord, puis comprenez la documentation - elle a été lue à plusieurs reprises. Environ à la troisième lecture, quelque part au milieu, un avertissement a clignoté en petits caractères sur la nécessité d'une séquence correcte d'installation des composants. Cinq autres pages plus tard, cette séquence a été découverte. À la question naturelle sur la cause profonde de la dissimulation de ces informations les plus précieuses parmi descriptions détaillées Il n'y avait personne pour répondre aux étapes d'ouverture de la boîte et aux règles de lancement des programmes sous MS Windows. Par conséquent, un CD a été imprimé - puis le plaisir a commencé.

Tout d'abord, l'installation et la configuration complètes des logiciels antivirus sur l'ensemble du réseau peuvent être effectuées à partir de n'importe quel poste de travail. Après avoir installé la console centrale anti-virus et redémarré, nous avons procédé à l'installation de l'anti-virus sur les serveurs. Auparavant, je devais attribuer l'un des serveurs au rôle de "quarantaine" et un autre - au rôle du serveur de mise à jour de la liste des virus. Ces fonctions ont été attribuées au serveur d'impression de l'entreprise, ce qui n'a entraîné aucun ralentissement notable dans l'exécution de leurs fonctions principales. Le processus d'installation s'est déroulé sans problème, sans aucune plainte ou question stupide de la part de l'installateur. La seule chose qui nous était demandée était d'aller sur deux anciens serveurs et de les redémarrer, car il n'était pas possible de le faire avec le système d'exploitation en raison de problèmes matériels. Tous les autres serveurs ont été redémarrés avec succès à distance à l'aide de l'utilitaire approprié du kit de ressources NT.

Après cela, nous nous sommes occupés des utilisateurs. Puisqu'il ne semblait pas raisonnable d'installer une protection pour tout le monde en même temps en raison du manque d'informations sur la possibilité de pannes logicielles et de conflits, nous avons adopté une liste secrète de sept utilisateurs qui ont reçu "volontairement-obligatoirement" l'antivirus. Seulement trois heures après cet événement, un employé a remarqué l'icône du moniteur antivirus et un autre ordinateur exécutant MS Windows 2000 Professionnel a cessé de démarrer. Les symptômes qui accompagnaient un tel comportement informatique scandaleux étaient extrêmement étranges et ambigus. Premièrement, le temps de démarrage du système d'exploitation a considérablement augmenté. Deuxièmement, le redémarrage du système en mode sans échec l'a fait geler. Enfin (et c'est le pire), le service NetLogon a cessé de démarrer, ce qui est l'une des pires erreurs de la famille de systèmes d'exploitation Windows NT. La réinstallation du système étant inacceptable en raison de la perspective prévue d'installer ce complexe antivirus sur d'autres ordinateurs dotés d'un système d'exploitation similaire, un examen post-mortem de «l'homme mort» a été entrepris afin d'établir la cause première de un tel malheur. Déjà une courte autopsie a révélé la chose la plus intéressante, à savoir les lignes du registre, selon apparence suggérant leur parenté avec le complexe anti-virus domestique AVP. Après un interrogatoire préjudiciable, l'employé a admis avoir un moniteur antivirus du complexe AVP sur sa machine. D'autres actions ont été réduites à l'élimination de ce logiciel avec un nettoyage mineur du registre, après quoi le poste de travail a démarré et a continué à fonctionner comme si de rien n'était. En conséquence, une décision a été prise sur la nécessité de nettoyer au préalable les postes de travail des autres programmes antivirus, ce qui a été fait.

L'installation des composants appropriés pour la protection du système de messagerie et du pare-feu de l'entreprise s'est déroulée de manière très fluide et presque imperceptible pour les utilisateurs. De plus, la vitesse de téléchargement des fichiers depuis Internet a diminué (de 5 à 7%). Travailler avec le courrier électronique consistait à "couper" une pièce jointe incurable de la lettre, à l'envoyer en quarantaine et à envoyer un avertissement à l'employé responsable. La seule chose qui peut être recommandée lors de l'installation d'un antivirus est de faire attention aux paramètres de protection. Malheureusement, ils ne sont pas toujours optimaux.

Après avoir installé l'ensemble du complexe sur une partie des ordinateurs de la maison d'édition ComputerPress allouée à un réseau de test virtuel, un test actif de l'ensemble du système a commencé. L'expérience acquise peut être résumée comme suit :

L'organisation générale de la protection avec les paramètres par défaut peut être évaluée à 5 points - pour la sécurité, et un solide "trois" - pour la rationalité. Les paramètres de protection par défaut ne sont pas les meilleurs en termes de vitesse et de sécurité. Il est raisonnable de vérifier "à la volée" un certain minimum de types de fichiers (et en aucun cas tiff - images d'environ 100 à 500 Mo), mais la vérification sur le serveur de messagerie et le pare-feu doit être effectuée par toutes les méthodes disponibles.
Les paramètres de sécurité des postes de travail et des serveurs doivent se compléter, mais pas se dupliquer. Par défaut, le fichier demandé est d'abord testé sur le serveur lorsqu'il est demandé, puis sur le poste de travail lorsqu'il est ouvert. Comme les bases de données de définitions de virus sont identiques, c'est une perte de temps.
Effectuez des vérifications régulières de la "préparation au combat" du complexe. Le moyen le plus simple consiste à "jeter" périodiquement des données infectées connues dans différentes parties du réseau et à analyser la vitesse et la qualité de la réponse du système à leur apparition.
Moins l'utilisateur peut faire, mieux c'est ! Aucun message de détection de virus nécessaire. S'il y a un virus et qu'il est curable, il doit être guéri "à la volée" et donné à l'utilisateur une version "saine". Sinon, "accès refusé". Et pas de libéralisme - les virus représentent une trop grande menace.
Et enfin, ne soyez pas paresseux pour effectuer une vérification maniaque régulière des disques du serveur. Cela ne vous prendra pas beaucoup de temps, mais augmentera le niveau global de protection.

Pour résumer absolument tout, alors l'ensemble du complexe mérite (avec un léger étirement) la note la plus élevée. Maintenant, si la documentation était un peu plus logique... Ce n'est pas très agréable quand, à cause d'un grain d'information précieux, on doit pelleter une quantité énorme d'instructions vides.

En conclusion, je voudrais mentionner une nouveauté du package anti-virus, annoncée, mais malheureusement (ou heureusement) non testée par nos soins, à savoir l'analyse en ligne des fichiers suspects et la synthèse d'un antidote. Cette fonction est implémentée au sein du serveur de quarantaine et est importante non seulement en l'absence de possibilité d'obtenir des définitions de virus mises à jour, mais également en dernier recours lorsqu'un monstre informatique non identifié apparaît sur votre réseau.

Bonne chance et ne laissez pas votre utilisation de cette excellente suite antivirus ralentir vos sauvegardes. Comme vous le savez, ayez confiance en Dieu, mais ne vous trompez pas vous-même.

OrdinateurPress 2 "2001

Planifier:

Présentation……………………………………………………………………………….…..3

1. Le concept de protection antivirus des informations…………...…5

2. Classification des programmes antivirus…………………...…….6

2.1 Numériseurs……………………………………………………….…6

2.2 Scanners CRC…………………………………………………..…..7

2.3 Bloqueurs……………………………………………………..8

2.4 Immunisateurs……………………………….………………….….…9

3. Les principales fonctions des antivirus les plus courants…..10

3.1 Dr Antivirus Internet………………………………………...……10

3.2 Kaspersky Anti-Virus……………………………………...10

3.3 Antiviral Toolkit Pro………………………………12

3.4Norton AntiVirus 2000……………………………………………13

Conclusion…………………………………………………………………………….15

Liste de la littérature utilisée…………………………………………………...16

Introduction.

En général, les moyens d'assurer la sécurité de l'information en termes de prévention des actions délibérées, selon la méthode de mise en œuvre, peuvent être divisés en groupes :

1) Moyens techniques (matériels). Ce sont des dispositifs de différents types (mécaniques, électromécaniques, électroniques, etc.), qui résolvent les problèmes de protection des informations avec du matériel. Ils empêchent soit la pénétration physique, soit, si la pénétration a eu lieu, l'accès à l'information, y compris par son déguisement. La première partie de la tâche est résolue par les serrures, les barreaux de fenêtre, les gardes, les alarmes de sécurité, etc. La deuxième partie est constituée de générateurs de bruit, de parasurtenseurs, de radios à balayage et de nombreux autres dispositifs qui "bloquent" les canaux potentiels de fuite d'informations ou leur permettent d'être détecté. Les avantages des moyens techniques sont liés à leur fiabilité, leur indépendance vis-à-vis des facteurs subjectifs et leur grande résistance aux modifications. Faiblesses - manque de flexibilité, volume et masse relativement importants, coût élevé ;

2) Les outils logiciels comprennent des programmes pour l'identification des utilisateurs, le contrôle d'accès, le cryptage des informations, la suppression des informations résiduelles (de travail) telles que les fichiers temporaires, le contrôle des tests du système de protection, etc. Les avantages des outils logiciels sont la polyvalence, la flexibilité, la fiabilité, la facilité d'installation, de capacité de modification et de développement. Inconvénients - fonctionnalité limitée du réseau, utilisation d'une partie des ressources du serveur de fichiers et des postes de travail, forte sensibilité aux modifications accidentelles ou délibérées, dépendance possible aux types d'ordinateurs (leur matériel);

3) Le matériel et le logiciel mixtes exécutent les mêmes fonctions que le matériel et le logiciel séparément et ont des propriétés intermédiaires ;

4) Les moyens organisationnels consistent en des moyens organisationnels et techniques (préparation des locaux avec des ordinateurs, pose d'un système de câblage, prise en compte des exigences pour en restreindre l'accès, etc.) et organisationnels et juridiques (lois nationales et règles de travail établies par la direction de une entreprise particulière). Les avantages des outils d'organisation sont qu'ils permettent de résoudre de nombreux problèmes hétérogènes, sont faciles à mettre en œuvre, répondent rapidement aux actions indésirables dans le réseau et offrent des possibilités illimitées de modification et de développement. Inconvénients - forte dépendance à l'égard de facteurs subjectifs, y compris l'organisation globale du travail dans une unité particulière.

1) Étudier le concept d'outils antivirus de protection des informations ;

2) Réflexion sur la classification des outils antivirus de protection des informations ;

3) Familiarisation avec les principales fonctions des antivirus les plus populaires.

1. Le concept de protection des informations antivirus.

Les logiciels antivirus consistent en des routines qui tentent de détecter, de prévenir et de supprimer les virus informatiques et autres logiciels malveillants.

2. Classification des programmes antivirus.

2.1 Numériseurs.

Le principe de fonctionnement des analyseurs antivirus est basé sur l'analyse des fichiers, des secteurs et de la mémoire système et la recherche de virus connus et nouveaux (inconnus de l'analyseur). Les soi-disant "masques" sont utilisés pour rechercher des virus connus. Un masque de virus est une séquence de code constante spécifique à ce virus particulier. Si le virus ne contient pas de masque permanent, ou si la longueur de ce masque n'est pas assez grande, alors d'autres méthodes sont utilisées. Un exemple d'une telle méthode est un langage algorithmique qui décrit toutes les variantes de code possibles qui peuvent être rencontrées lorsque ce type de virus est infecté. Cette approche est utilisée par certains antivirus pour détecter les virus polymorphes. Les scanners peuvent également être divisés en deux catégories - "universel" et "spécialisé". Les scanners universels sont conçus pour rechercher et neutraliser tous les types de virus, quel que soit le système d'exploitation dans lequel le scanner est conçu pour fonctionner. Les scanners spécialisés sont conçus pour neutraliser un nombre limité de virus ou une seule classe d'entre eux, tels que les virus de macro. Les analyseurs spécialisés conçus uniquement pour les macro-virus s'avèrent souvent être la solution la plus pratique et la plus fiable pour protéger les systèmes de flux de travail dans les environnements MSWord et MSExcel.

2.2 CRC -scanners.

2.3 Bloqueurs.

2.4 Immunisateurs.

3. Les principales fonctions des antivirus les plus courants.

3.1 Dr antivirus La toile.

L'ensemble des fonctions est assez standard pour un antivirus - analyse des fichiers (y compris ceux compressés avec des programmes spéciaux et archivés), de la mémoire, des secteurs de démarrage des disques durs et des disquettes. Les chevaux de Troie, en règle générale, ne sont pas sujets à la guérison, mais à la suppression. Malheureusement, les formats de courrier ne sont pas vérifiés, donc immédiatement après avoir reçu un e-mail, il est impossible de savoir s'il y a un virus dans la pièce jointe. La pièce jointe devra être enregistrée sur le disque et vérifiée séparément. Cependant, le moniteur résident "Spider Guard" fourni avec le programme vous permet de résoudre ce problème à la volée.

3.2 Kaspersky Anti-Virus.

L'analyseur heuristique permet de protéger votre ordinateur même des virus inconnus.

Le scanner antivirus Scanner permet d'effectuer une analyse complète de l'intégralité du contenu des lecteurs locaux et réseau à la demande.

L'intercepteur Script Checker fournit des vérifications antivirus de tous les scripts en cours d'exécution avant leur exécution.

La prise en charge des fichiers archivés et compressés permet de supprimer le code malveillant d'un fichier compressé infecté.

3.3 Kit d'outils antivirus antivirus Pro.

3.4 Norton Antivirus 2000.

Conclusion:

En me familiarisant avec la littérature, j'ai atteint mon objectif et j'ai tiré les conclusions suivantes:

1) Programme antivirus (anti-virus) - un programme pour détecter les virus informatiques, ainsi que les programmes indésirables (considérés comme malveillants) en général, et restaurer les fichiers infectés (modifiés) par ces programmes, ainsi que pour la prévention - prévenir l'infection (modification) de fichiers ou du système d'exploitation avec un code malveillant (par exemple, par la vaccination) ;

2) aucun antivirus ne garantit une protection à 100 % contre les virus ;

3) Les programmes antivirus les plus populaires et les plus efficaces sont les scanners antivirus (autres noms : phage, polyphage, doctor program). Après eux en termes d'efficacité et de popularité viennent les scanners CRC (également : auditeur, vérificateur de contrôle, vérificateur d'intégrité). Souvent, ces deux méthodes sont combinées en un seul programme antivirus universel, ce qui augmente considérablement sa puissance. Divers types de bloqueurs et d'immunisants sont également utilisés.

Bibliographie:

1) Proskurin V.G. Matériel et logiciel pour la sécurité de l'information. Protection dans les systèmes d'exploitation. – Moscou : Radio et communication, 2000 ;

2) http://ru.wikipedia.org/wiki/Antivirus_program ;

3) www.kasperski.ru ;

4) http://www.symantec.com/sabu/nis ;

Protection des informations dans les réseaux informatiques locaux, protection antivirus. Protection antivirus des réseaux d'information

protection informations et sécurité de l'information (2)

Outils antivirus de protection des informations