• Antivirové prostředky ochrany informací. Nástroje antivirové ochrany informací

    Plán:

    Úvod……………………………………………………………………………….…..3

      pojem antivirové nástroje ochrana informací …………………5

      Klasifikace antivirových programů………………………...…….6

      1. Skenery ……………………………………………………….. 6

        CRC skenery………………………………………………..…..7

        Blokátory………………………………………………………..8

        Imunizátory ……………………………………………………….. 9

      Hlavní funkce nejběžnějších antivirů…..10

        antivirus Dr Web ……………………………………………… 10

        Kaspersky Anti-Virus …………………………………………... 10

        Antivirová sada nástrojů Pro……………………………………… 12

        Norton AntiVirus 2000……………………………………………… 13

    Závěr……………………………………………………………………………….. 15

    Seznam použité literatury………………………………………………...16

    Úvod.

    Prostředky informační bezpečnosti je soubor inženýrských, technických, elektrických, elektronických, optických a jiných zařízení a zařízení, přístrojů a technické systémy, ale i další reálné prvky sloužící k řešení různých problémů ochrany informací, včetně zamezení úniku a zajištění bezpečnosti chráněných informací.

    Obecně lze prostředky zajištění informační bezpečnosti z hlediska zabránění záměrnému jednání v závislosti na způsobu implementace rozdělit do skupin:

      Technické (hardwarové) prostředky. Jedná se o zařízení různých typů (mechanická, elektromechanická, elektronická atd.), která řeší problémy ochrany informací pomocí hardwaru. Buď brání fyzickému pronikání, nebo, pokud k průniku skutečně došlo, přístupu k informacím, a to i prostřednictvím jejich maskování. První část úkolu řeší zámky, mříže na oknech, hlídače, bezpečnostní alarmy atd. Druhou jsou generátory hluku, síťové filtry, skenovací rádia a mnoho dalších zařízení, která „blokují“ potenciální kanály úniku informací nebo umožňují jejich detekci. Výhody technických prostředků souvisí s jejich spolehlivostí, nezávislostí na subjektivních faktorech a vysokou odolností vůči modifikacím. Slabé stránky- nedostatek flexibility, relativně velký objem a hmotnost, vysoké náklady;

      Mezi softwarové nástroje patří programy pro identifikaci uživatele, řízení přístupu, šifrování informací, mazání zbytkových (pracovních) informací, jako jsou dočasné soubory, kontrola testování systému ochrany atd. Výhody softwarových nástrojů jsou všestrannost, flexibilita, spolehlivost, snadná instalace , schopnost upravovat a rozvíjet. Vady - omezená funkčnost sítě, využití části prostředků souborového serveru a pracovních stanic, vysoká citlivost na náhodné nebo záměrné změny, možná závislost na typech počítačů (jejich hardwaru);

      Smíšený hardware a software implementují stejné funkce jako hardware a software samostatně a mají mezilehlé vlastnosti;

      Organizační prostředky se skládají z organizačních a technických (příprava prostor s počítači, pokládka kabelový systém s přihlédnutím k požadavkům na omezení přístupu k němu atd.) a organizační a právní (národní legislativa a pracovní řád zřízená vedením konkrétního podniku). Výhody organizačních nástrojů spočívají v tom, že umožňují řešit mnoho heterogenních problémů, jsou snadno implementovatelné, rychle reagují na nežádoucí akce v síti, mají neomezené možnosti modifikace a vývoj. Nevýhody - vysoká závislost na subjektivních faktorech vč společná organizace pracovat v konkrétním oddělení.

    Ve své práci se budu zabývat jedním ze softwarových nástrojů pro ochranu informací – antivirovými programy. Účelem mé práce je tedy analyzovat nástroje antivirové ochrany informací. Dosažení tohoto cíle je zprostředkováno řešením následujících úkolů:

      Studium konceptu antivirových nástrojů ochrany informací;

      Zvážení klasifikace nástrojů antivirové ochrany informací;

      Seznámení s hlavními funkcemi nejoblíbenějších antivirů.

      Koncept antivirové ochrany informací.

    Antivirový program (antivirus) - program k detekci počítačové viry, jakož i nechtěné (považované za škodlivé) programy obecně a obnovu souborů infikovaných (upravených) takovými programy, jakož i pro prevenci - zabránění napadení (úpravy) souborů nebo operačního systému škodlivým kódem (např. očkování).

    Antivirový software se skládá z rutin, které se pokoušejí detekovat, předcházet a odstraňovat počítačové viry a jiný škodlivý software.

      Klasifikace antivirových programů.

    Antivirové programy jsou nejúčinnější v boji proti počítačovým virům. Okamžitě bych však rád poznamenal, že neexistují žádné antiviry, které by zaručovaly stoprocentní ochranu před viry, a prohlášení o existenci takových systémů lze považovat buď za nekalou reklamu, nebo za neprofesionalitu. Takové systémy neexistují, protože pro jakýkoli antivirový algoritmus je vždy možné nabídnout proti-algoritmus viru, který je pro tento antivirus neviditelný (naštěstí platí i opak: antivirus lze vždy vytvořit pro jakýkoli virový algoritmus ).

    Nejoblíbenější a nejúčinnější antivirové programy jsou antivirové skenery (jiné názvy: fág, polyfág, lékařský program). Po nich z hlediska účinnosti a oblíbenosti následují skenery CRC (také: auditor, kontrolní součet, kontrolor integrity). Často se oba tyto způsoby spojují do jednoho univerzálního antivirového programu, což značně zvyšuje jeho sílu. Používají se také různé typy blokátorů a imunizátorů.

    2.1 Skenery.

    Princip fungování antivirových skenerů je založen na skenování souborů, sektorů a systémové paměti a vyhledávání v nich známých i nových (pro skener neznámých) virů. K hledání známých virů se používají tzv. „masky“. Virová maska ​​je nějaká konstantní kódová sekvence specifická pro tento konkrétní virus. Pokud virus neobsahuje trvalou masku, nebo délka této masky není dostatečně velká, pak se používají jiné metody. Příkladem takové metody je algoritmický jazyk, který popisuje všechny možné varianty kódu, se kterými se lze setkat, když je tento typ viru infikován. Tento přístup používají některé antiviry k detekci polymorfních virů. Skenery lze také rozdělit do dvou kategorií – „univerzální“ a „specializované“. Univerzální skenery jsou navrženy tak, aby vyhledávaly a neutralizovaly všechny typy virů bez ohledu na operační systém, ve kterém je skener navržen. Specializované skenery jsou navrženy tak, aby neutralizovaly omezený počet virů nebo pouze jednu z nich, například makroviry. Specializované skenery určené pouze pro makroviry se často ukazují jako nejpohodlnější a nejspolehlivější řešení pro ochranu workflow systémů v prostředí MS Word a MS Excel.

    Skenery se také dělí na „rezidentní“ (monitory, hlídači), které provádějí skenování za chodu, a „nerezidentní“, které kontrolují systém pouze na vyžádání. "Rezidentní" skenery zpravidla poskytují spolehlivější ochranu systému, protože okamžitě reagují na výskyt viru, zatímco "nerezidentní" skener je schopen identifikovat virus až při jeho příštím spuštění. Na druhou stranu rezidentní skener může počítač poněkud zpomalit, a to i kvůli možným falešným poplachům.

    Mezi výhody skenerů všech typů patří jejich univerzálnost, nevýhodou relativně nízká rychlost vyhledávání virů. V Rusku jsou nejběžnější tyto programy: AVP - Kaspersky, Dr.Weber - Danilov, Norton Antivirus od Semantic.

    2.2 CRC- skenery.

    Princip činnosti skenerů CRC je založen na výpočtu součtů CRC (kontrolních součtů) pro soubory / systémové sektory přítomné na disku. Tyto součty CRC jsou pak uloženy v antivirové databázi, stejně jako některé další informace: délky souborů, data jejich poslední úpravy atd. Při příštím spuštění CRC skenery zkontrolují data obsažená v databázi se skutečně napočítanými hodnotami. Pokud se informace o souboru zaznamenané v databázi neshodují se skutečnými hodnotami, pak skenery CRC signalizují, že soubor byl upraven nebo infikován virem. CRC skenery využívající anti-stealth algoritmy jsou poměrně silnou zbraní proti virům: téměř 100 % virů je detekováno téměř okamžitě poté, co se objeví v počítači. Tento typ antiviru má však svou vlastní chybu, která výrazně snižuje jejich účinnost. Tou nevýhodou je, že CRC skenery nejsou schopny zachytit virus v okamžiku jeho výskytu v systému, ale udělají to až po nějaké době, poté co se virus rozšíří po celém počítači. CRC skenery nemohou detekovat virus v nových souborech (v e-mailu, na disketách, v souborech obnovených ze zálohy nebo při rozbalování souborů z archivu), protože jejich databáze nemají informace o těchto souborech. Navíc se periodicky objevují viry, které tuto „slabost“ CRC skenerů využívají, infikují pouze nově vytvořené soubory a zůstávají pro ně tak neviditelné. Nejpoužívanějšími programy tohoto druhu v Rusku jsou ADINF a AVP Inspector.

    2.3 Blokátory.

    Antivirové blokátory jsou rezidentní programy, které zachycují „virově nebezpečné“ situace a upozorňují na ně uživatele. Mezi „virově nebezpečná“ volání patří volání k otevření pro zápis do spustitelných souborů, zápis do spouštěcích sektorů disků nebo MBR pevného disku, pokusy programů zůstat rezidentní atd., tedy volání typická pro viry. v době rozmnožování. Někdy jsou některé funkce blokování implementovány v rezidentních skenerech.

    Mezi výhody blokátorů patří jejich schopnost detekovat a zastavit virus v nejranější fázi jeho reprodukce, což je mimochodem velmi užitečné v případech, kdy se dlouho známý virus neustále „plíží odnikud“. Mezi nevýhody patří existence způsobů, jak obejít ochranu blokátorů a velký počet falešně pozitivní, což bylo zjevně důvodem téměř úplného odmítnutí uživatelů tohoto druhu antivirových programů (například není znám jediný blokátor pro Windows95/NT - není poptávka, není nabídka) .

    Je také nutné poznamenat takový směr antivirových nástrojů, jako jsou antivirové blokátory, vyrobené ve formě počítačových hardwarových komponent („hardware“). Nejběžnější je ochrana proti zápisu zabudovaná v BIOSu v MBR pevného disku. Stejně jako v případě softwarových blokátorů však lze takovou ochranu snadno obejít přímým zápisem na porty diskového řadiče a spuštění nástroje FDISK DOS okamžitě způsobí „falešně pozitivní“ ochranu.

    Existuje několik univerzálnějších hardwarových blokátorů, ale k výše uvedeným nevýhodám existují také problémy s kompatibilitou se standardními konfiguracemi počítače a potíže s jejich instalací a konfigurací. To vše dělá hardwarové blokátory ve srovnání s jinými typy extrémně nepopulárními. antivirová ochrana.

    2.4 Imunizátory.

    Imunizéry jsou programy, které zapisují kódy do jiných programů, které hlásí infekci. Obvykle zapisují tyto kódy na konec souborů (jako souborový virus) a pokaždé, když soubor spustí, zkontrolují, zda nedošlo ke změnám. Mají jen jednu nevýhodu, ale ta je smrtelná: absolutní neschopnost nahlásit infekci stealth virem. Proto se takové imunizátory, stejně jako blokátory, v současnosti prakticky nepoužívají. Kromě toho mnoho programů vyvinutých v poslední době kontroluje samy sebe z hlediska integrity a mohou zaměnit kódy v nich vložené za viry a odmítnout pracovat.

      Hlavní funkce nejběžnějších antivirů.

        antivirus Dr Web.

    Dr. Web je starý a zaslouženě populární antivirus v Rusku, který pomáhá uživatelům v boji proti virům již několik let. Nové verze programu (DrWeb32) fungují na několika operačních systémech a chrání uživatele před více než 17 000 viry.

    Sada funkcí je pro antivirus zcela standardní - skenování souborů (včetně těch komprimovaných speciálními programy a archivovaných), paměti, boot sektorů pevných disků a disket. Trojské koně zpravidla nepodléhají léčbě, ale odstranění. Bohužel se nekontrolují formáty pošty, takže ihned po obdržení e-mailu nelze zjistit, zda se v příloze nenachází virus. Přílohu bude nutné uložit na disk a zkontrolovat samostatně. Rezidentní monitor "Spider Guard" dodávaný s programem vám však umožňuje vyřešit tento problém za chodu.

    Dr. Web je jedním z prvních programů, ve kterém byla implementována heuristická analýza, která umožňuje detekovat viry, které nejsou uvedeny v antivirové databázi. Analyzátor detekuje v programu instrukce podobné viru a označí takový program jako podezřelý. Antivirová databáze se aktualizuje přes internet kliknutím na tlačítko. Bezplatná verze programu neprovádí heuristickou analýzu a nedezinfikuje soubory.

        Kaspersky Anti-Virus.

    Inspektor sleduje všechny změny ve vašem počítači a v případě zjištění neoprávněných změn v souborech nebo v systémovém registru vám umožní obnovit obsah disku a odstranit škodlivé kódy. Inspektor nevyžaduje aktualizace antivirové databáze: kontrola integrity je prováděna na základě snímání otisků původních souborů (CRC-součtů) a jejich následného porovnání s upravenými soubory. Na rozdíl od jiných auditorů Inspector podporuje všechny nejoblíbenější formáty spustitelných souborů.

    Heuristický analyzátor umožňuje chránit váš počítač i před neznámými viry.

    Zachycovač virů na pozadí Monitor, který je trvale přítomen v paměti počítače, provádí antivirovou kontrolu všech souborů přímo v okamžiku jejich spuštění, vytvoření nebo kopírování, což vám umožní kontrolovat všechny operace se soubory a zabránit infekci i těm technologicky nejvyspělejším. viry.

    Antivirové filtrování E-mailem zabraňuje pronikání virů do vašeho počítače. Zásuvný modul Mail Checker nejen odstraňuje viry z těla e-mailu, ale také zcela obnovuje původní obsah e-mailů. Komplexní kontrola e-mailové korespondence zabraňuje tomu, aby se virus skryl v kterémkoli z prvků e-mailu tím, že prověřuje všechny části příchozích a odchozích zpráv, včetně připojených souborů (včetně archivovaných a zabalených) a dalších zpráv jakékoli úrovně vnoření.

    Antivirový skener Scanner umožňuje na vyžádání provést plnohodnotnou kontrolu celého obsahu lokálních a síťových disků.

    Zachycovač Script Checker poskytuje antivirovou kontrolu všech spuštěných skriptů před jejich spuštěním.

    Podpora archivovaných a komprimovaných souborů poskytuje možnost odstranit škodlivý kód z infikovaného komprimovaného souboru.

    Izolace infikovaných objektů zajišťuje izolaci infikovaných a podezřelých objektů s jejich následným přesunem do speciálně organizovaného adresáře pro další analýzu a obnovu.

    Automatizace antivirové ochrany umožňuje vytvořit plán a pořadí komponent programu; automaticky stahovat a připojovat nové aktualizace antivirové databáze přes internet; zasílat upozornění na detekované virové útoky e-mailem atd.

        Antivirus Antiviral Toolkit Pro.

    Antiviral Toolkit Pro je ruský produkt, který si získal oblibu v zahraničí i v Rusku díky svým nejširším možnostem a vysoké spolehlivosti. Existují verze programu pro většinu populárních operačních systémů, antivirová databáze obsahuje asi 34 000 virů.

    Existuje několik možností doručení - AVP Lite, AVP Gold, AVP Platinum. Nejúplnější verze se dodává se třemi produkty – skenerem, rezidentním monitorem a řídicím centrem. Skener umožňuje kontrolovat soubory a paměť na přítomnost virů a trojských koní. To kontroluje zabalené programy, archivy, poštovní databáze (složky aplikace Outlook atd.) a provádí heuristickou analýzu za účelem nalezení nových virů, které nejsou obsaženy v databázi. Průběžný monitor kontroluje každý otevřený soubor na přítomnost virů a varuje před virovými hrozbami a zároveň blokuje přístup k infikovanému souboru. Ovládací centrum umožňuje naplánovat antivirové kontroly a aktualizovat databáze přes internet. Demoverze postrádá schopnost dezinfikovat infikované objekty, kontrolovat zabalené a archivované soubory a heuristickou analýzu.

        Norton Antivirus 2000.

    Norton AntiVirus je založen na dalším oblíbeném produktu – osobním firewallu AtGuard (@guard) od WRQ Soft. Výsledkem aplikace technologické síly Symantecu na něj byl integrovaný produkt s výrazně rozšířenou funkčností. Jádrem systému je stále firewall. Funguje velmi efektivně bez konfigurace, prakticky bez zasahování do každodenního používání sítě, ale blokuje pokusy o restart nebo "zavěšení" počítače, přístup k souborům a tiskárnám a navázání kontaktu s trojskými koni v počítači.

    Norton AntiVirus je jediný firewall, který jsme zkontrolovali a který implementuje možnosti této metody ochrany (která je 100%. Provádí se filtrování všech typů paketů procházejících sítí, vč. služba (ICMP), mohou pravidla pro firewall zohledňovat, která aplikace pracuje se sítí, jaký druh dat se přenáší a na který počítač, v jakou denní dobu se to děje.

    Pro zachování důvěrných dat může firewall blokovat odesílání e-mailových adres na webové servery, jako je prohlížeč, je také možné blokovat cookies. Filtr důvěrných informací varuje před pokusem o odeslání nešifrovaných informací do sítě, které uživatel zadal a označil jako důvěrné.

    Aktivní obsah na webových stránkách (Java applety, skripty atd.) může také blokovat Norton AntiVirus – filtr obsahu dokáže z textu webových stránek odstranit nezabezpečené prvky dříve, než se dostanou do prohlížeče.

    Jako doplňková služba, která přímo nesouvisí s problémy zabezpečení, nabízí Norton AntiVirus velmi pohodlný filtr reklamní bannery(tyto otravné obrázky jsou jednoduše vystřiženy ze stránky, což urychluje její načítání), stejně jako systém rodičovské kontroly. Tím, že zakážete návštěvy určitých kategorií stránek a spouštění určitých typů internetových aplikací, můžete být docela klidní ohledně obsahu sítě, který je k dispozici dětem.

    Kromě funkcí brány firewall nabízí Norton AntiVirus uživateli ochranu programu Norton Antivirus. Tato oblíbená antivirová aplikace s pravidelně aktualizovanými antivirovými databázemi umožňuje celkem spolehlivě detekovat viry v nejranějších fázích jejich výskytu. Všechny soubory stažené ze sítě, soubory připojené k e-mailu, aktivní prvky webových stránek jsou kontrolovány na výskyt virů. Norton Antivirus má navíc antivirový skener a monitor, který poskytuje celosystémovou antivirovou ochranu, aniž by byl vázán na přístup k síti.

    Závěr:

    Po seznámení se s literaturou jsem dosáhl svého cíle a učinil jsem následující závěry:

      Antivirový program (antivirus) - program pro detekci počítačových virů, ale i nežádoucích (považovaných za škodlivé) programy obecně a obnovu souborů infikovaných (upravených) takovými programy, jakož i pro prevenci - zamezení napadení (úpravy) souborů popř. operační systém se škodlivým kódem (například , prostřednictvím očkování);

      neexistují žádné antiviry, které zaručují 100% ochranu před viry;

      Nejoblíbenější a nejúčinnější antivirové programy jsou antivirové skenery (jiné názvy: fág, polyfág, lékařský program). Po nich z hlediska účinnosti a oblíbenosti následují skenery CRC (také: auditor, kontrolní součet, kontrolor integrity). Často se oba tyto způsoby spojují do jednoho univerzálního antivirového programu, což značně zvyšuje jeho sílu. Používají se také různé typy blokátorů a imunizátorů.

      ...

    1. Ochrana informace a informační bezpečnost (2)

      Abstrakt >> Informatika

      ... ochrana informace(právní ochrana informace, technický ochrana informace, ochrana hospodářský informace atd.). Organizační metody ochrana informace A ochrana informace v Rusku mají následující vlastnosti: Metody a zařízení ochrana informace ...

    Nástroje informační bezpečnosti

    test

    1. Ochrana informací před neoprávněným přístupem. Antivirové nástroje ochrany informací

    Úkol chránit informace uložené v počítačových systémech před neoprávněným přístupem (UAS) je velmi aktuální. K řešení tohoto problému se používá celá řada nástrojů, včetně technických, softwarových a hardwarových a administrativních opatření k ochraně informací.

    Neoprávněným přístupem (UAS) k informacím se nazývá neplánované seznamování, zpracování, kopírování, používání různých virů, včetně těch, které ničí softwarové produkty, a také úprava nebo zničení informací v rozporu se stanovenými pravidly řízení přístupu.

    Systém informační bezpečnosti je uspořádaný soubor zvláštních legislativních a jiných předpisů, orgánů, služeb, metod, opatření a prostředků, které zajišťují bezpečnost informací před vnitřními a vnějšími hrozbami.

    Při ochraně informací před neoprávněným přístupem lze rozlišit tři hlavní oblasti:

    První je zaměřena na zamezení přístupu narušitele do výpočetního prostředí a je založena na speciálních technických prostředcích identifikace uživatele;

    Druhý souvisí s ochranou výpočetního prostředí a je založen na vytvoření speciálního softwaru pro ochranu informací;

    Třetí směr souvisí s využitím speciální prostředky ochrana informací před neoprávněným přístupem

    Prostředek ochrany informací před neoprávněným přístupem - technický, kryptografický, softwarový a jiný nástroj určený k ochraně informací, nástroj, ve kterém je implementován, a také prostředek sledování účinnosti ochrany informací.

    Nástroje informační bezpečnosti se dělí na:

    1. Fyzické - různé inženýrské prostředky a struktury, které znemožňují nebo vylučují fyzické pronikání (nebo přístup) pachatelů k chráněným objektům a k hmotným nosičům důvěrných informací:

    2. Hardware – mechanická, elektrická, elektronická a jiná zařízení určená k ochraně informací před únikem, prozrazením, modifikací, zničením, jakož i proti prostředkům technické inteligence:

    3. Software - speciální programy pro počítače, které implementují funkce ochrany informací před neoprávněným přístupem, seznámením, kopírováním, modifikací, zničením a blokováním.

    4. Kryptografické - technické a softwarové prostředky šifrování dat založené na použití různých matematických a algoritmických metod.

    5. Kombinovaná - kombinovaná implementace hardwaru a softwaru a kryptografické metody ochrana informací.

    Rozličný softwarové metody výrazně rozšiřují možnosti zajištění bezpečnosti uložených informací.

    Mezi standardními ochrannými prostředky osobních počítačů jsou nejrozšířenější:

    Prostředky ochrany výpočetních zdrojů pomocí identifikace heslem a omezení přístupu neoprávněnému uživateli;

    Použití různých metod šifrování, které nezávisí na kontextu informací;

    Nástroje na ochranu proti kopírování pro komerční softwarové produkty;

    Ochrana proti počítačovým virům;

    Vytváření archivů.

    Počítačový virus je program, který je schopen spontánně infiltrovat a vkládat své kopie do jiných programů, souborů, oblastí počítačového systému a počítačových sítí za účelem vytváření nejrůznějších zásahů do provozu počítače.

    Hlavní opatření k ochraně před viry: vybavení počítače antivirovým programem, neustálá aktualizace antivirových databází, archivace cenných informací.

    Antivirový program (antivirus) - program pro detekci počítačových virů, ale i nežádoucích (považovaných za škodlivé) programy obecně a obnovu souborů infikovaných (upravených) takovými programy, jakož i pro prevenci - zabránění napadení (úpravy) souborů nebo operační systém se škodlivým kódem (např. očkování).

    Antivirový software se skládá z rutin, které se pokoušejí detekovat, předcházet a odstraňovat počítačové viry a jiný škodlivý software.

    Antivirový software obvykle používá dvě různé metody:

    skenování souborů na známé viry, které odpovídají definici v antivirových databázích

    detekce podezřelého chování některého z programů, podobné chování infikovaného programu.

    Mezi hlavní metody detekce počítačových virů patří:

    způsob srovnání se standardem;

    heuristická analýza;

    antivirové monitorování;

    metoda detekce změn;

    vkládání antivirů do BIOS počítače atd.

    Metoda srovnání se standardem. Nejjednodušší metodou detekce je pomocí tzv. masek hledat známé viry. Virová maska ​​je nějaká konstantní kódová sekvence specifická pro tento konkrétní virus. Antivirový program postupně kontroluje (skenuje) skenované soubory a hledá masky známých virů. Antivirové skenery mohou najít pouze známé viry, pro které byla definována maska. Pokud virus neobsahuje trvalou masku nebo délka této masky není dostatečně velká, pak se používají jiné metody. Použití jednoduchých skenerů nechrání počítač před pronikáním nových virů. Šifrovací a polymorfní viry, které mohou při napadení nového programu nebo boot sektoru zcela změnit svůj kód, nelze maskovat, takže je antivirové skenery neodhalí.

    Heuristická analýza. Aby se počítačový virus mohl reprodukovat, musí provést některé specifické akce: kopírování do paměti, zápis do sektorů atd. Heuristický analyzátor (který je součástí antivirového jádra) obsahuje seznam takových akcí a kontroluje programy a boot sektory. disků a disket a snaží se v nich najít kód charakteristický pro viry. Heuristický analyzátor může například zjistit, že testovaný program instaluje rezidentní modul do paměti nebo zapisuje data do spustitelného souboru programu. Po zjištění infikovaného souboru analyzátor obvykle zobrazí zprávu na obrazovce monitoru a provede záznam do vlastního nebo systémového protokolu. V závislosti na nastavení může antivirus také odeslat zprávu o detekovaném viru správci sítě. Heuristická analýza umožňuje detekovat dříve neznámé viry. Téměř všechny moderní antivirové programy implementují své vlastní metody heuristické analýzy.

    Antivirový monitoring. Podstatou této metody je, že v paměti počítače je neustále antivirový program, který sleduje všechny podezřelé akce prováděné jinými programy. Antivirový monitoring umožňuje kontrolovat všechny spuštěné programy, vytvořené, otevřené a uložené dokumenty, programy a soubory dokumentů přijaté přes internet nebo zkopírované do HDD z diskety nebo CD. Antivirový monitor upozorní uživatele, pokud se nějaký program pokusí provést potenciálně nebezpečnou akci.

    Změnit metodu detekce. Při implementaci této metody si antivirové programy, nazývané auditoři disku, nejprve zapamatují vlastnosti všech oblastí disku, které mohou být napadeny, a poté je pravidelně kontrolují. Infikováním počítače virus změní obsah pevný disk: například připojí svůj kód k souboru programu nebo dokumentu, přidá volání virového programu do souboru AUTOEXEC.BAT, změní zaváděcí sektor, vytvoří satelitní soubor. Porovnáním hodnot charakteristik oblastí disku může antivirový program detekovat změny provedené známými i neznámými viry.

    Zabudování antivirů do BIOSu počítače. V základní desky počítače jsou zabudovány do nejjednodušších prostředků ochrany proti virům. Tyto nástroje umožňují ovládat všechna volání do hlavního spouštění tvrdě nahrávat disků a také do zaváděcích sektorů disků a disket. Pokud se nějaký program pokusí změnit obsah zaváděcích sektorů, spustí se ochrana a uživatel obdrží odpovídající varování. Tato ochrana však není příliš spolehlivá. Jsou známé viry, které se snaží zakázat antivirovou kontrolu BIOS úpravou určitých buněk v energeticky nezávislé paměti počítače (paměť CMOS).

    Zde jsou výsledky průzkumu provedeného společností WEBCITY Business Network v minulém čtvrtletí. Průzkumu se zúčastnilo více než 7 000 lidí (internet). Výsledky ankety:

    formátování antivirového informačního programu

    Nejlepší antivirus pro domácnost a kancelář v roce 2010

    Automatizovaný pracoviště vedoucí skladu obchodní společnosti

    informační základna Sklad Velká pozornost je v současnosti věnována formování principů pro budování mechanismů informační bezpečnosti (IP)...

    Vlastnosti ochrany osobních počítačů jsou určeny specifiky jejich použití. Standard architektonické principy tvorba hardwaru a softwaru pro osobní počítač...

    Ochrana informací v systémech automatizovaného zpracování dat: vývoj, výsledky, perspektiva

    Ideovým základem souboru směrnic je „Koncepce ochrany počítačového vybavení a automatizovaných systémů před neoprávněným přístupem k informacím“. Koncept „stanovuje systém pohledů, základní principy ...

    Komplexní systémy informační bezpečnost

    Mezi způsoby a prostředky ochrany informací patří organizační, technická a právní opatření ochrany informací a opatření na ochranu informací ( právní ochranu informace, technickou ochranu informace, ochrana ekonomické informace a t...

    Metody a prostředky ochrany informací

    Potřeba chránit informace

    Volba prostředků ochrany informací před neoprávněným přístupem by měla vycházet z výše uvedených požadavků na systém ochrany informací v AS SRN az analýzy existujících prostředků ochrany v zemi. Tyto prostředky by měly být pokud možno...

    Zajištění ochrany informací v lokálních sítích

    Architektura LAN a technologie jejího fungování umožňuje útočníkovi najít nebo záměrně vytvořit mezery skrytý přístup na info...

    Organizace ochrany informací v místní síti (na příkladu JSC "Mari Machine-Building Plant")

    Vývoj softwarového nástroje pro certifikaci úseků sítě

    Způsoby, jak chránit informace v podniku, stejně jako způsoby, jak je extrahovat, se neustále mění. Pravidelně se objevují nové nabídky společností poskytujících služby informační bezpečnosti...

    Klasifikace se vztahuje na všechny provozní a projektované AS institucí, organizací a podniků, které zpracovávají důvěrné informace...

    Vývoj programu pro automatizaci auditního ověřování při certifikaci objektů informatizace

    Softwarový produkt společnosti "Bezpečnostní kód" Secret Net 6...

    Vývoj návrhu systému pro ochranu informací před neoprávněným přístupem pro automatizovaný systém okresní správní úřady

    IPS Secret Net 7.0 je systém pro ochranu důvěrných informací na serverech a pracovních stanicích před neoprávněným přístupem. Běží pod OS Rodiny Windows Linux. Tajná síť 7...

    Způsoby ochrany informací

    Neoprávněný přístup je čtení, úprava nebo zničení informací bez příslušného oprávnění...

    Nástroje informační bezpečnosti

    Úkol chránit informace uložené v počítačových systémech před neoprávněným přístupem (UAS) je velmi aktuální. K řešení tohoto problému se používá celá řada nástrojů, včetně technických ...

    Antivirové programy jsou široce používány v boji proti virům. Zvažte hlavní třídy antivirových programů.

    • Kontroly integrity softwaru.

    Tato třída vám umožňuje vypočítat kontrolní součet (nazývaný podpis) každého uživatelského programu. Před spuštěním programu je vypočtená hodnota kontrolního součtu porovnána s hodnotou zaznamenanou pro chráněné kopie programu. Takové programy nemohou zabránit infekci, ale poskytují uživateli cenné informace o infikovaných nebo upravených programech.

    • Ovládací programy.

    Programy této třídy používají režim přerušení počítače. Pokud si podle názoru autora antivirového programu programy všimnou něčeho podezřelého, přeruší provoz počítače a vydají obsluze doporučení k dalšímu postupu.

    • Programy na odstranění virů.

    Tyto programy kontrolují magnetický disk pouze známé viry. Když najdou virus, nahlásí to operátorovi nebo virus odstraní.

    • kopie.

    Kopírování programů je metoda ochrany, ale nezaručuje nepřítomnost virů.

    • Existovat smíšené antivirové programy, kombinující vlastnosti programů výše uvedených tříd.

    Dosud nebyla nalezena metoda, která by poskytovala plnou záruku ochrany před virem. Mezi vyvíjené slibné metody patří následující:

    • adaptivní a samoučící se metody;
    • inteligentní metody;
    • hardwarové metody.

    Adaptivní a samoučící se nástroje- jedná se o nástroje, které automaticky rozšiřují seznam virů, kterým odolávají. Patří mezi ně nástroje, které obsahují neustále aktualizované virové databáze.

    Inteligentní metody– metody založené na inferenčních systémech. Jejich podstata se scvrkává na určení algoritmu implementovaného programem podle jeho kódu, a tedy identifikaci programů, které provádějí neoprávněné akce. Je to slibná metoda, ale vyžaduje obrovské náklady.

    Hardware- Jedná se o dodatečné posílení ochranného systému. Aplikováno v speciální aplikace, dosud nedostaly širokou distribuci, tk. jejich použití omezuje možnosti systému.

    Systematický přístup k bezpečnosti

    Budování a podpora bezpečný systém vyžaduje systémový přístup. V souladu s tímto přístupem je nutné realizovat celé spektrum možné hrozby Pro konkrétní síť a pro každou z těchto hrozeb promyslet taktiku jejího odrazu. V tomto boji je nutné použít různé prostředky a techniky: morální a etické, legislativní, administrativní, psychologické, ochranné schopnosti softwaru a hardwaru sítě.

    K morálním a etickým prostředkům ochrany lze připsat všem druhům norem, které se vyvinuly jako rozšíření počítačových nástrojů.

    Legislativní prostředky ochrany jsou zákony, nařízení vlády, nařízení prezidenta. Předpisy a normy, které upravují pravidla pro používání a zpracování informací omezený přístup, jakož i sankce za porušení těchto pravidel.

    Administrativní opatření- jedná se o opatření přijatá vedením podniku nebo organizace k zajištění organizační bezpečnosti (popisy práce, které přesně určují postup při práci s důvěrná informace na počítači, pravidla pro pořízení zabezpečovacího zařízení podnikem atd.).

    Psychologická opatření bezpečnost může hrát významnou roli při posilování bezpečnosti systému. Zanedbávání zohlednění psychologických aspektů v neformálních postupech souvisejících s bezpečností může vést k narušení bezpečnosti.

    NA fyzický ochranné prostředky zahrnují stínění místností na ochranu před zářením, kontrolu dodaného zařízení z hlediska shody s jeho specifikacemi a nepřítomnosti hardwarových „štěnic“, sledovací zařízení, zařízení blokující fyzický přístup k jednotlivým počítačovým blokům, různé zámky a další zařízení chránící prostory kde se média nacházejí informace z nelegálního vstupu.

    Technický nástroje informační bezpečnosti jsou implementovány softwarově a hardwarově počítačové sítě. Takové fondy jsou tzv služby zabezpečení sítě. Rozsah úkolů ochrany, které řeší, je různorodý (řízení přístupu, auditování, šifrování informací, antivirová ochrana, kontrola síťový provoz atd.). Technické prostředky bezpečnostní systémy mohou být buď zabudovány do softwaru (OS, aplikace) a hardwaru (počítače a komunikační zařízení) sítě, nebo mohou být implementovány jako samostatné produkty navržené speciálně pro řešení bezpečnostních problémů.

    Pravidla bezpečnosti

    Politika bezpečnosti informací určuje, jaké informace by měly být chráněny a před kým, jaká škoda může být z úspěšně realizované hrozby, jaké prostředky chránit. Specialisté odpovědní za bezpečnost systému by při vytváření bezpečnostní politiky měli vzít v úvahu několik základních principů:

    • Poskytování každému zaměstnanci podniku s minimální úroveň oprávnění přístup k údajům, které potřebuje k plnění svých pracovních povinností.
    • Používání integrovaný přístup k bezpečnosti. To znamená použití různých bezpečnostních nástrojů, od organizačních a administrativních zákazů až po vestavěná síťová zařízení.
    • Použitím víceúrovňový systém ochranu, je důležité poskytnout rovnováha spolehlivosti ochrany všech úrovní.
    • Využití zařízení, která při selhání přejdou do stavu maximální ochranu . To platí pro širokou škálu bezpečnostních zařízení.
    • Princip jednoho kontrolního bodu - veškerý provoz vstupující do vnitřní sítě a opouštějící vnější síť musí projít jediným síťovým uzlem, jako je firewall. Jen tak můžete dostatečně řídit provoz.
    • Princip vyvažování možné škody z realizace hrozby a nákladů na její prevenci.Žádný bezpečnostní systém nezaručuje 100% ochranu dat. je výsledkem kompromisu mezi možnými riziky a možnými náklady.

    Při definování bezpečnostní politiky pro síť, která má přístup k internetu, se doporučuje rozdělit úlohu na 2 části: vytvořit politiku pro přístup k síťové služby Internet a vypracovat politiku pro přístup ke zdrojům vnitřní sítě společnosti.

    Zásady přístupu k internetové službě:

    • Definuje seznam internetových služeb, ke kterým by uživatelé v interní síti měli mít omezený přístup.
    • Definujte omezení pro přístupové metody, jako je použití protokolů SLIP a PPP.
    • Rozhodování, zda mají externí uživatelé povolen přístup z Internetu do vnitřní sítě.

    Politiku přístupu ke zdrojům vnitřní sítě společnosti lze vyjádřit jedním ze dvou principů:

    • Odmítněte vše, co není výslovně povoleno;
    • Povolit vše, co není výslovně zakázáno.

    Jednou z podmínek bezpečné práce v informačním systému je ze strany uživatele dodržování řady pravidel, která byla ověřena praxí a prokázala svou vysokou efektivitu. Je jich několik:

    1. Používání softwarových produktů získaných legálními oficiálními prostředky. Pravděpodobnost výskytu viru v pirátské kopii je mnohonásobně vyšší než u oficiálně získaného softwaru.
    2. duplikace informací. Nejprve musíte uložit distribuční médium softwaru. Zároveň by měl být pokud možno blokován zápis na média, která tuto operaci umožňují. Zvláštní pozornost by měla být věnována zachování pracovních informací. Je vhodnější pravidelně vytvářet kopie pracovních souborů na vyměnitelné úložné médium chráněné proti zápisu. Buď je zkopírován celý soubor, nebo pouze prováděné změny. Poslední možnost je použitelná například při práci s databázemi.
    3. Pravidelné aktualizace systémového softwaru. Operační systém musí být pravidelně aktualizován a musí být instalovány všechny bezpečnostní záplaty od společnosti Microsoft a dalších dodavatelů, které řeší stávající zranitelnosti softwaru.
    4. Omezení přístupu uživatelů k nastavení operačního systému a systémovým datům. Pro zajištění stabilního provozu systému je často nutné omezit možnosti uživatelů, což lze provést buď pomocí vestavěných nástrojů Windows nebo pomocí specializované programy navržený pro kontrolu přístupu k počítači.

      V firemní sítě aplikace možná skupinové zásady na doménové síti Windows.

    5. Pro co nejefektivnější využití síťových zdrojů je nutné zavést omezení přístupu oprávněných uživatelů k interním a externím síťovým zdrojům a zablokovat přístup neoprávněným uživatelům.
    6. Pravidelné používání antivirových nástrojů. Před zahájením práce je vhodné spustit programy pro skenování a auditorské programy. Antivirové databáze musí být pravidelně aktualizovány. Kromě toho je nutné provádět antivirovou kontrolu síťového provozu.
    7. Ochrana proti síťovým průnikům je zajištěna použitím softwaru a hardwaru, včetně: použití firewallů, systémů detekce/prevence průniku IDS/IPS (Intrusion Detection/Prevention System), implementace Technologie VPN(Soukromá virtuální síť).
    8. Využití autentizačních nástrojů a kryptografie - použití hesel (jednoduchých/složitých/neopakujících se) a šifrovacích metod. Nedoporučuje se používat stejné heslo na různých zdrojích a zveřejňovat informace o heslech. Při psaní hesla na stránky byste měli být obzvláště opatrní, abyste nedovolili zadat heslo na podvodném duplicitním webu.
    9. Zvláštní opatrnosti je třeba věnovat používání nových (neznámých) vyměnitelných médií a nových souborů. Nové vyměnitelné médium musí být zkontrolováno, zda neobsahuje zaváděcí a souborové viry a výsledné soubory jsou zkontrolovány na souborové viry. Při práci v distribuované systémy nebo v systémech pro kolektivní použití je vhodné zkontrolovat nová vyměnitelná média a soubory vložené do systému na počítačích speciálně přidělených k tomuto účelu, které nejsou připojeny k lokální síť. Teprve po komplexní antivirové kontrole disků a souborů je lze přenést k uživatelům systému.
    10. Při práci s dokumenty a tabulkami přijatými (například prostřednictvím e-mailu) je vhodné zakázat provádění makropříkazů prostředky zabudovanými v textových a tabulkových editorech (MS Word, MS Excel) až do dokončení úplná kontrola tyto soubory.
    11. Pokud nehodláte zapisovat informace na externí média, pak musíte tuto operaci zablokovat například programovým zakázáním USB portů.
    12. Při práci se sdílenými prostředky v otevřené sítě(například internet) používejte pouze ověřené síťové zdroje, které nemají škodlivý obsah. Neměli byste věřit všem informacím, které přicházejí do počítače - e-maily, odkazy na webové stránky, zprávy na internetové pagery. Přísně se nedoporučuje otevírat soubory a odkazy pocházející z neznámého zdroje.

    Neustálé dodržování těchto doporučení může výrazně snížit pravděpodobnost infekce softwarovými viry a chrání uživatele před nenávratnou ztrátou informací. I při pečlivém provádění všech pravidel prevence však nelze zcela vyloučit možnost napadení počítače počítačovými viry, a proto je třeba metody a prostředky boje proti malwaru neustále zlepšovat a udržovat v provozuschopném stavu.

    Antivirové nástroje ochrany informací

    Masivní šíření škodlivého softwaru, závažnost důsledků jeho dopadu na informační systémy a sítě si vyžádaly vývoj a používání speciálních antivirové nástroje a způsoby jejich aplikace.

    Je třeba poznamenat, že neexistují žádné antivirové nástroje, které by zaručovaly detekci všech možných virových programů.

    Antivirové nástroje se používají k řešení následujících úloh:

    • detekce malwaru v informační systémy Ach;
    • blokování provozu malwaru;
    • odstranění následků vystavení malwaru.

    Malware je žádoucí detekovat již ve fázi jeho zavádění do systému, nebo alespoň před tím, než začne provádět destruktivní akce. Pokud je takový software nebo jeho aktivity detekovány, musí být virový program okamžitě ukončen, aby se minimalizovaly škody způsobené jeho dopadem na systém.

    Odstranění následků expozice virům se provádí dvěma směry:

    • odstranění virů;
    • obnova (v případě potřeby) souborů, paměťových oblastí.

    Postup pro odstranění detekovaného škodlivého kódu z infikovaného systému musí být prováděn velmi pečlivě. Často viry a trojské koně podniknout speciální akce, aby skryly skutečnost své přítomnosti v systému, nebo jsou v něm zakořeněny tak hluboko, že úkol jeho zničení se stává zcela netriviálním.

    Obnova systému závisí na typu viru a také na době jeho detekce ve vztahu k nástupu destruktivních akcí. V případě, že v systému již běží virový program a jeho činnost zahrnuje změnu nebo mazání dat, může být obnovení informací (zejména pokud nejsou duplicitní) nemožné.Pro boj s viry se používá software a firmware, které se používají v určitá posloupnost a kombinace, tvořící metody ochrany proti malwaru.

    Moderní antivirové nástroje široce používají následující metody detekce virů:

    • snímání;
    • detekce změny;
    • heuristická analýza;
    • využití rezidentních hlídačů;
    • používání softwarové a hardwarové ochrany proti virům.

    Snímání- jedna z nejjednodušších metod detekce virů, je prováděna skenovacím programem, který skenuje soubory při hledání rozpoznávající části viru - podpisy. Signatura je jedinečná sekvence bajtů, která patří konkrétnímu viru a nenachází se v jiných programech.

    Program detekuje přítomnost již známých virů, pro které je definována signatura. Pro efektivní využití antivirových programů, které využívají metodu skenování, je to nutné pravidelná aktualizace informace o nových virech.

    Metoda detekce změny je založena na použití auditorských programů, které sledují změny ve spisech a sektory disku na počítači. Jakýkoli virus nějak změní systém dat na disku. Například spouštěcí sektor se může změnit, nový spustitelný soubor nebo změnit stávající atd.

    Antivirové auditní programy zpravidla zjišťují a ukládají do speciálních souborů obrazy hlavního zaváděcího záznamu, zaváděcí sektory logických disků, charakteristiky všech sledovaných souborů, adresářů a počty vadných diskových clusterů. Auditor pravidelně kontroluje aktuální stav diskových oblastí a souborového systému, porovnává jej s předchozím stavem a okamžitě zobrazuje zprávy o všech podezřelých změnách.

    Hlavní výhodou metody je schopnost detekovat viry všech typů i nové neznámé viry.

    Tato metoda má také nevýhody. Pomocí auditních programů není možné detekovat virus v souborech, které se dostanou do systému již infikované. Viry budou detekovány až poté, co se v systému rozmnoží.

    Heuristická analýza, stejně jako metoda detekce změn, umožňuje detekovat neznámé viry, ale nevyžaduje předběžný sběr, zpracování a ukládání informací o systému souborů.

    Heuristická analýza v antivirových programech je založena na signaturách a heuristickém algoritmu, jehož cílem je zlepšit schopnost skenovacích programů používat signatury a rozpoznávat upravené verze virů v případech, kdy kód neznámého programu zcela neodpovídá signaturám, ale obecnější známky viru jsou jasně vyjádřeny v podezřelém programu nebo ve vzorci jeho chování. Pokud jsou takové kódy detekovány, zobrazí se zpráva o možné infekci. Po obdržení takových zpráv je nutné pečlivě zkontrolovat domněle infikované soubory a boot sektory všemi dostupnými antivirovými nástroji.

    Nevýhodou této metody je velký počet falešných poplachů antivirových nástrojů v případech, kdy legální program obsahuje fragmenty kódu, které provádějí akce a/nebo sekvence charakteristické pro některé viry.

    Metoda použití rezidentních hlídačů je založeno na používání programů, které jsou neustále in paměť s náhodným přístupem zařízení (počítače) a sledovat všechny akce prováděné jinými programy. Pokud některý program provádí podezřelé akce typické pro viry (přístup k zápisu do boot sektorů, umístění rezidentních modulů do RAM, pokusy o zachycení přerušení atd.), rezidentní hlídač vydá zprávu uživateli.

    Použití antivirových programů s rezidentním hlídačem snižuje pravděpodobnost virů spuštěných v počítači, ale mějte na paměti, že neustálé využívání zdrojů paměti RAM pro rezidentní programy snižuje množství paměti dostupné pro ostatní programy.

    K dnešnímu dni jsou jedním z nejspolehlivějších mechanismů ochrany informačních systémů a sítí software a hardware, zpravidla zahrnující nejen antivirové systémy, ale i poskytování doplňkových služeb. Toto téma je podrobně rozebráno v části "Software a hardware pro zajištění bezpečnosti informačních sítí".

    Hmotným nosičem informační bezpečnosti jsou specifická softwarová a hardwarová řešení, která jsou kombinována do komplexů v závislosti na účelu jejich aplikace. Organizační opatření jsou podružná vůči stávající materiální základně pro zajištění bezpečnosti informací, proto se v této části manuálu zaměříme na principy budování základních softwarových a hardwarových řešení a perspektivy jejich rozvoje.

    Ohrožením zájmů subjektů informačních vztahů se obvykle nazývá potenciálně možná událost, proces nebo jev, který prostřednictvím dopadu na informace nebo jiné složky CRF může přímo či nepřímo vést k poškození zájmů těchto subjektů. .

    Vzhledem ke zvláštnostem moderního CRF existuje značné množství různých typů bezpečnostních hrozeb pro subjekty informačních vztahů.

    Jedním z nejběžnějších typů hrozeb jsou počítačové viry. Jsou schopny způsobit značné škody IRC. Proto je důležité nejen chránit síť nebo jednotlivé prostředky výměny informací před viry, ale také pochopit principy antivirové ochrany ze strany uživatelů.

    U nás jsou nejoblíbenějšími antivirovými balíčky Kaspersky Anti-Virus a DrWeb. Existují také další programy, jako je McAfee Virus Scan a Norton AntiVirus. Dynamika změn informací v tomto předmětová oblast vysoká, takže další informace o antivirové ochraně lze nalézt na internetu vyhledáním klíčových slov „virová ochrana“.

    Je známo, že není možné dosáhnout 100% ochrany počítače před počítačovými viry samostatným softwarových nástrojů. Ke snížení potenciálního nebezpečí zavlečení počítačových virů a jejich šíření prostřednictvím podnikové sítě je proto nutný komplexní přístup, který kombinuje různá administrativní opatření, software a hardware antivirové ochrany a také nástroje pro zálohování a obnovu. Pokud se zaměříme na software a hardware, můžeme rozlišit tři hlavní úrovně antivirové ochrany:

    Hledání a ničení známých virů;

    Hledání a ničení neznámých virů;

    Blokování projevů virů.

    Úrovně a prostředky antivirové ochrany jsou schematicky znázorněny na Obr. 2.1.

    Rýže. 2.1. Úrovně a prostředky antivirové ochrany

    2.1.1. Ochrana proti známým virům

    Při vyhledávání a ničení známých virů je nejčastější metodou skenovací metoda. Tato metoda spočívá v detekci počítačových virů podle jejich unikátního fragmentu programového kódu (podpis, kmen programu). K tomu je vytvořena určitá skenovací databáze s fragmenty kódu známých počítačových virů. Detekce virů se provádí porovnáním dat paměti počítače s pevné kódy skenování databází. Pokud je detekován a identifikován nový kód viru, lze jeho signaturu vložit do skenovací databáze. Vzhledem k tomu, že je znám podpis, je možné správně obnovit (dezinfikovat) infikované soubory a oblasti. Nutno dodat, že některé systémy neukládají podpisy samotné, ale například kontrolní součty nebo imitace podpisů.

    Antivirové programy, které detekují známé počítačové viry, se nazývají skenery nebo detektory. Programy, které zahrnují funkce obnovy infikovaných souborů, se nazývají polyfágy (fágy), lékaři nebo dezinfekční prostředky. Je obvyklé rozdělit skenery na následující:

    Transit, pravidelně spouštěný k detekci a odstraňování virů,

    Rezidentní (trvale umístěné v paměti RAM), které kontrolují zadané oblasti systémové paměti, když nastanou události s nimi spojené (například kontrola souboru při jeho kopírování nebo přejmenování).

    Mezi nevýhody skenerů patří skutečnost, že umožňují detekovat pouze ty viry, které již pronikly do počítačových systémů, byly prozkoumány a byla pro ně určena signatura. Pro efektivní práce skenery, je nutné rychle doplnit skenovací databázi. S rostoucí velikostí databáze kontroly a počtem různých typů prohledaných virů se však snižuje rychlost antivirové kontroly. Samozřejmě, pokud se doba kontroly blíží době obnovy, nemusí být potřeba antivirové kontroly tak naléhavá.

    Některé viry (mutanti a polymorfy) kódují nebo modifikují svůj programový kód. To ztěžuje nebo znemožňuje izolovat signaturu, a tedy detekovat viry skenováním.

    K detekci těchto maskovacích virů se používají speciální metody. Patří mezi ně metoda emulace procesoru. Metoda spočívá v simulaci provádění programu procesorem a podsouvání fiktivních řídicích prostředků viru. Takto oklamaný virus pod kontrolou antivirového programu dešifruje svůj kód. Poté skener porovná dešifrovaný kód s kódy ze své skenovací databáze.

    2.1.2. Ochrana proti neznámým virům

    Detekce a eliminace neznámých virů je nezbytná pro ochranu před viry, které první úroveň antivirové ochrany postrádá. Nejúčinnější metodou je sledování integrity systému (detekce změn). Tato metoda spočívá v kontrole a porovnání aktuálních parametrů výpočetní systém s referenčními parametry odpovídajícími jeho neinfikovanému stavu. Je jasné, že kontrola integrity není výsadou systému antivirové ochrany. Poskytuje bezpečnost informační zdroj před neoprávněnou úpravou a odstraněním v důsledku různých druhů neoprávněných vlivů, poruch a poruch systému a prostředí.

    K implementaci těchto funkcí se používají programy zvané auditoři. Práce auditora se skládá ze dvou fází: stanovení referenčních charakteristik výpočetního systému (zejména disku) a jejich periodické porovnávání s aktuálními charakteristikami. Běžně sledovanými charakteristikami jsou kontrolní součet, délka, čas, atribut pouze pro čtení souborů, strom adresářů, špatné clustery, zaváděcí sektory disku. Síťové systémy mohou akumulovat průměrné statistické parametry fungování subsystému (zejména historický profil síťového provozu), které jsou porovnávány s aktuálními parametry.

    Auditoři se stejně jako skenery dělí na tranzitní a rezidentní. Nevýhody auditorů, především rezidentních auditorů, zahrnují různé nepříjemnosti a potíže, které vytvářejí v práci uživatele. Například mnoho změn v parametrech systému není způsobeno viry, ale provozem systémových programů nebo činností uživatele-programátora. Ze stejného důvodu auditoři nepoužívají textové soubory které se neustále mění. Je tedy třeba najít určitou rovnováhu mezi použitelností a kontrolou integrity systému.

    Auditoři poskytují vysokou úroveň detekce neznámých počítačových virů, ale ne vždy poskytují správné ošetření infikovaných souborů. Soubory infikované neznámými viry se obvykle léčí pomocí referenčních charakteristik souborů a předpokládaných metod jejich infekce.

    Variantou kontroly integrity systému je metoda programové sebekontroly zvaná očkování. Myšlenkou této metody je připojit k chráněnému programu modul (vakcínu), který řídí vlastnosti programu, obvykle jeho kontrolní součet.

    Kromě statistických metod kontroly integrity se k identifikaci neznámých a maskovacích virů používají heuristické metody. Umožňují podle známých vlastností (definovaných v databázi znalostí systému) identifikovat některé maskované nebo nově upravené viry známých typů. Příkladem příznaku viru je kód, který instaluje rezidentní modul do paměti, mění parametry tabulky přerušení atd. Softwarový modul, který implementuje heuristickou metodu pro detekci virů, se nazývá heuristický analyzátor. Příkladem skeneru s heuristickým analyzátorem je program Dr Web od Dialog-Science.

    Mezi nevýhody heuristických analyzátorů patří chyby 1. a 2. druhu: falešné poplachy a přeskakování virů. Poměr indikované chyby záleží na úrovni heuristiky.

    Rozumí se, že pokud počítačový virus detekovaný heuristickým analyzátorem nemá signaturu v databázi kontroly, může být dezinfekce infikovaných dat nesprávná.

    2.1.3. Ochrana proti projevům virů

    Blokování projevů virů je určeno k ochraně před destruktivními akcemi a reprodukcí počítačových virů, kterým se podařilo překonat první dvě úrovně ochrany. Metody jsou založeny na zachycení funkcí specifických pro virus. Existují dva typy těchto antivirových látek:

    filtrační programy,

    Hardwarové ovládání.

    Filtrační programy, nazývané také rezidentní hlídací psi a monitory, jsou trvale uloženy v paměti RAM a zachycují daná přerušení za účelem kontroly podezřelé aktivity. Zároveň mohou blokovat „nebezpečné“ akce nebo vystavit uživateli požadavek.

    Akce, které mají být řízeny, mohou být následující: úprava hlavního spouštěcího záznamu (MBR) a spouštěcích záznamů logických disků a GMD, zápis na absolutní adresu, nízkoúrovňové formátování disku, ponechání rezidentního modulu v RAM atd. Podobně jako auditoři jsou filtry často "vlezlé" a vytvářejí určité nepříjemnosti v práci uživatele.

    Vestavěný počítačový hardware poskytuje ovládání zavaděče a úpravy tabulek oddíly tvrdého disk umístěný v hlavním spouštěcím záznamu disku (MBR). Zahrnutí těchto funkcí do PC se provádí pomocí instalačního programu umístěného v ROM. Všimněte si, že instalační program lze obejít při nahrazení spouštěcích sektorů přímým přístupem k I/O portům řadičů pevného disku a disket.

    Nejúplnější ochranu proti virům lze zajistit pomocí speciálních kontrolérů hardwarové ochrany. Takový řadič se připojuje k PC ISA sběrnici a řídí všechna volání do diskového subsystému počítače na hardwarové úrovni. To zabraňuje virům, aby se maskovaly. Ovladač lze konfigurovat pro ovládání jednotlivé soubory, logické oddíly, „nebezpečné“ operace atd. Kromě toho mohou řadiče provádět různé doplňkové bezpečnostní funkce, jako je poskytování řízení přístupu a šifrování.

    Mezi nevýhody těchto řadičů, jako jsou desky ISA, patří absence systému automatické konfigurace a v důsledku toho možnost konfliktů s některými systémové programy včetně antiviru.

    Při práci v globální sítě obecné použití, zejména na internetu, se vedle tradičních metod antivirové ochrany počítačových dat stává relevantní antivirová kontrola veškerého procházejícího provozu. To lze provést implementací antivirového proxy serveru nebo integrací antivirové komponenty firewall. V druhém případě brána firewall předá antivirové součásti (nebo serveru) platný provoz, jako je provoz SMTP, FTP a HTTP. Soubory, které obsahuje, jsou zkontrolovány na přítomnost virů a poté odeslány uživatelům. Dá se říci, že máme co do činění s novou úrovní antivirové ochrany – úrovní firewallingu.

    2.1.4. Přehled funkcí antiviru

    V současné době je trendem integrace různých antivirových nástrojů s cílem poskytnout spolehlivou vícevrstvou ochranu. Nejvýkonnější na ruském trhu jsou Antivirová sada DialogueScience (DSAV) od DialogueScience JSC a integrovaná antivirový systém AntiViral Toolkit Pro (AVP) od ZAO Kaspersky Lab. Tyto komplexy se u nás velmi doporučují zejména při zajišťování antivirové ochrany informačních systémů malých a středních úřadů. Zvažte možnosti nástroje Kaspersky Lab.

    Uvedený softwarový produkt deklaruje: „Jedním z hlavních úkolů specialistů Kaspersky Lab při vytváření Kaspersky Anti-Virus byla optimální konfigurace všech nastavení aplikace. To umožňuje uživateli s jakoukoli úrovní počítačová gramotnost, aniž byste se ponořili do nastavení, zajistěte bezpečnost svého počítače ihned po instalaci aplikace. Okno pozvánky (hlavní okno) zadaného antivirového nástroje je srozumitelné uživateli jakékoli úrovně.

    V případě potřeby se uživatel může obrátit na systém nápovědy a požádat o pomoc kliknutím na „? Help“ a získejte odpověď na jeho otázku. Uveďme bez škrtů obsah jednoho z informačních oken softwarového produktu.

    Kaspersky Anti-Virus je zásadně nový přístup k ochraně informací. V aplikaci jde především o integraci a znatelné vylepšení dosavadní funkčnosti všech produktů společnosti do jednoho komplexního bezpečnostního řešení. Aplikace poskytuje nejen antivirovou ochranu, ale také ochranu před neznámými hrozbami. Už nemusíte do počítače instalovat několik produktů, abyste si zajistili plnou ochranu. Stačí nainstalovat Kaspersky Anti-Virus.

    Na všech kanálech příjmu a přenosu informací je poskytována komplexní ochrana. Flexibilní konfigurace jakékoli součásti aplikace umožňuje v maximální možné míře přizpůsobit aplikaci Kaspersky Anti-Virus potřebám konkrétního uživatele. K dispozici je také jediné nastavení všech součástí ochrany.

    Pojďme se blíže podívat na inovace Kaspersky Anti-Virus.

    Novinka v obraně

    Kaspersky Anti-Virus nyní chrání nejen před již známými malware, ale i z těch, které ještě nejsou známy. Přítomnost komponenty proaktivní obrany je hlavní výhodou aplikace. Jeho práce je založena na analýze chování aplikací nainstalovaných na vašem počítači, na kontrole změn systémový registr, sledování provádění maker a bojování skryté hrozby. Komponenta používá heuristický analyzátor, který umožňuje detekovat různé druhy malware. Zároveň je uchovávána historie škodlivé činnosti, na základě které jsou vráceny akce provedené škodlivým programem a systém je obnoven do stavu před škodlivým dopadem.

    Technologie ochrany souborů na počítači uživatele se změnila: nyní můžete snížit zatížení procesor a diskových podsystémů a zvýšit rychlost skenování souborů. Toho je dosaženo pomocí technologií iChecker a iSwift. Tento režim provozu aplikace vylučuje opětovné skenování souborů.

    Proces antivirové kontroly se nyní přizpůsobí vaší práci na počítači. Kontrola může zabrat dostatečné množství času a systémových prostředků, ale uživatel může svou práci vykonávat paralelně. Pokud provedení jakékoli operace vyžaduje systémové prostředky, antivirová kontrola bude pozastavena až do dokončení této operace. Test pak bude pokračovat tam, kde skončil.

    Skenování kritických oblastí počítače, jejichž infekce může vést k vážným následkům, je prezentována jako samostatný úkol. můžete přizpůsobit automatický start tuto úlohu při každém spuštění systému.

    Výrazně se zlepšila ochrana elektronické korespondence na počítači uživatele před škodlivými programy. Aplikace kontroluje provoz pošty na přítomnost virů pomocí následujících protokolů:

    * IMAP, SMTP, POP3, jakýkoli e-mailový klient, který používáte;

    * NNTP, bez ohledu na poštovního klienta;

    * Bez ohledu na typ protokolu (včetně MAPI, HTTP) jako součást práce zásuvných modulů zabudovaných do e-mailové programy Microsoft Office Outlook a The Bat!

    V tak známých poštovních klientech, jako je Microsoft Office Outlook, Microsoft Outlook Express a The Bat! vestavěné speciální rozšiřující moduly (pluginy), které umožňují konfigurovat ochranu pošty přímo v poštovním klientovi.

    Byla rozšířena funkce upozorňování uživatele na výskyt určitých událostí v aplikaci. Můžete si vybrat způsob upozornění pro každý z typů událostí: e-mailová zpráva, zvukové upozornění, vyskakovací zpráva, zápis do protokolu událostí.

    Implementováno ověřování provozu přenášeného přes zabezpečené připojení pomocí protokolu SSL.

    Přidána technologie pro vlastní ochranu aplikace, ochranu před vzdálenou neoprávněnou správou služby Anti-Virus a také ochranu přístupu k nastavení aplikace pomocí hesla. Vyhnete se tak deaktivaci ochrany před malwarem, vetřelci nebo nekvalifikovanými uživateli.

    Přidána možnost vytvořit disk pro obnovení systému. Pomocí tohoto disku můžete provést počáteční spuštění operačního systému po napadení virem a zkontrolovat počítač na přítomnost škodlivých objektů.

    Docela populární mezi řadou uživatelů je Dr. Web. Hlavním zaměřením Dr. Web má detekovat polymorfní viry. Aktuálně Dr. Web implementuje nejúčinnější heuristický analyzátor neznámých virů na světě. Podle magazínu Virus Bulletin to zajišťuje detekci až 80 - 91 % neznámých virů, včetně 99 % makrovirů! Na mezinárodních soutěžích Dr. Web byl několikrát zařazen mezi tři nejlepší antiviry pro DOS. Produkt je dostatečně kompaktní, že jej lze spustit z diskety.

    Na závěr poznamenáváme, že správce sítě, uživatelé PC musí neustále sledovat aktualizaci antivirových nástrojů a včas zavést soubor opatření k ochraně síťového hardwaru a softwaru před vysoce pravděpodobnou infekcí viry.

    Přečtěte si více: