Итак - свершилось. На дворе новое тысячелетие. Позади остался «век прогресса и прогрессивки», время индустриализации и первых робких шагов информационных технологий. Впервые человечество сумело получить информации больше, чем было в состоянии осмыслить. Информация стала одной из величайших ценностей, посрамив презренный желтый металл, столетиями являвшийся мерилом положения человека в обществе. Это привело к серьезному изменению концепций безопасности и породило ряд таких весьма специфических проблем, как компьютерные вирусы.
В отличие от традиционных эквивалентов информацию очень легко похитить. При этом сам процесс похищения (копирования) вполне может пройти незамеченным ее законным владельцем. Эту проблему мы оставим для отдельного обзора, а сегодня рассмотрим способы защиты информации от внешнего злонамеренного воздействия, ставящего своей целью несанкционированное изменение и уничтожение информации. В соответствии с устоявшейся терминологией такие вредоносные программы получили название компьютерных вирусов. Оставим в стороне этический аспект побуждений, двигавших создателями вирусов, и сосредоточимся на проблеме защиты информации от их пагубного влияния.
Как известно, для того чтобы победить в сражении, необходимо иметь четкое представление о противнике и о его возможностях. Питать иллюзии относительно его возможностей недопустимо. Если вы искренне верите фильмам, в которых главный герой с третьей попытки угадывает пароль в 20 символов или вставленный компакт-диск при неправильно указанном пароле взрывается, дальнейшая часть этой статьи адресована не вам. Тем не менее частенько приходится слышать о вирусах, наносящих компьютеру физические повреждения, например вводящих в резонанс головки винчестера, что приводит к его разрушению. Сразу оговорюсь, что один такой вирус существует - это печально известный Win95.CIH. Он разрушает память BIOS (Basic Input/Output System), определяющую саму рабочую логику компьютера. При этом наносимые повреждения достаточно легко исправляются даже в домашних условиях. Кроме того, профилактика его основной деструктивной функции довольно проста - достаточно в программе Setup установить запрет на обновление BIOS. К счастью, подавляющее большинство вирусов не столь изощрены и довольствуются повреждением информации и дальнейшим распространением.
Попробуем теперь систематизировать все наши знания о противнике и обозначить линии обороны. При этом нельзя ограничиваться одной, пусть даже самой крепкой стеной. Общий принцип построения защиты можно позаимствовать у военных. Вся входящая и исходящая информация должна тщательно проверяться на предмет заражения известными вирусами. Необходимо отслеживать как традиционные (дискеты), так и новые (электронная почта, Internet) пути проникновения вирусов на охраняемую территорию. Кроме того, на охраняемой территории необходимо вести регулярное патрулирование на предмет поиска следов вражеской деятельности. На случай проникновения врага на охраняемую территорию необходимо раздельно охранять все ключевые объекты (системные файлы). Дополнительно следует вести регулярную разведку (обновление базы вирусов) и проверять готовность и работоспособность системы. На первый взгляд все достаточно просто: антивирусный комплекс с функцией расчета контрольных сумм файлов и резидентный монитор с достаточно большой вероятностью защитят нас от любой напасти. Естественно, только в том случае, если список вирусов будет регулярно обновляться. В случае если вирус все-таки просочился через внешний периметр, сигналом тревоги станет изменение «неизменяемых» файлов. Указанная схема гарантирует приблизительно 85-процентную вероятность обнаружения противника еще на границе охраняемой зоны и 99-процентную - обнаружения факта его проникновения внутрь защитного периметра. В большинстве случаев этого достаточно.
Рассмотренная ситуация представляется точкой зрения «лейтенанта антивирусных войск», задачей которого является оборона небольшого объекта. Подобный подход неприемлем, когда требуется обезопасить более крупный объект, включающий несколько компьютеров. Ситуацию многократно усложняет наличие доступа в Internet. Естественно, самым простым способом «решения» этой проблемы будет занудное применение вышеуказанной методики с поправкой на возросшее число «зон ответственности». В результате мы получим Северную Америку во времена войн с индейцами: укрепленные форты, а вокруг - неизвестность! В этом случае любая информация, передаваемая между компьютерами, может быть необратимо повреждена в процессе передачи по «ничейной» территории. Поэтому мы попробуем сформулировать новые принципы защиты, исходя из расширившейся зоны ответственности и увеличения количества путей вторжения. В качестве примера рассмотрим сетевые инфраструктуры, первая из которых принадлежит одному из крупнейших издательских холдингов, а вторая развернута в Издательском доме «КомпьютерПресс»(см. врезку).
Как обычно, сначала произведем оценку вероятных путей проникновения вирусов. В течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты. Тем не менее не стоит сбрасывать со счетов «классический» способ подцепить заразу. Таким образом, вирус может попасть на локальный компьютер пользователя следующими способами:
Теперь попробуем сформулировать принципы нашей оборонительной стратегии: существует возможность перекрыть все направления проникновения инфекции или только их часть. Например, можно защитить рабочие станции и серверы (вариант А), оставив без прикрытия канал доступа в Internet и систему электронной почты. И это не намного снизит общую защищенность системы - просто проникновение будет определяться и пресекаться непосредственно на рабочих станциях. Однако при этом резко возрастает нагрузка на «разведку» - все рабочие станции должны регулярно получать обновление антивирусной программы и базы вирусов. В случае организации полной защиты (вариант Б) нагрузка распределяется более равномерно между всеми защитными подсистемами.
Теперь, когда общая стратегия обозначена, рассмотрим вопрос управления системой в целом. При всей кажущейся простоте этот вопрос является одним из определяющих. Возможных вариантов всего два: централизованное управление всей системой и местное управление. У каждого из них есть свои преимущества и свои недостатки. На врезках приведены практические примеры централизованного и местного управления антивирусной защитой, на основании которых можно сделать вывод о преимуществе централизованного управления в случаях большого количества рабочих станций, а также наличия заметного потока входящей информации, нуждающейся в проверке. Кроме того, существует такое понятие, как дополнительные опасности, вызванные такими факторами, как наличие конфиденциальной информации и присутствие приходящих сотрудников, а также уровнем компьютерной грамотности последних. Мой опыт работы как в государственных, так и в коммерческих структурах быстро развеял любые надежды на этот счет - на моих глазах сотрудники пытались запустить FDISK.EXE для того, чтобы увеличить скорость работы компьютера, следуя инструкции, присланной неизвестным по системе электронной почты. При этом все попытки остановить человека вызывали поток язвительных замечаний относительно моих профессиональных навыков и широты кругозора. Естественно, все перечисленные факторы повышают требования как к системе в целом, так и к ее организации. Однако у вопроса об организации антивирусной защиты есть и финансовая сторона. Глупо разворачивать систему стоимостью несколько тысяч долларов для защиты пяти компьютеров в небольшой фирме. С другой стороны, когда руководство начинает экономить даже на собственной безопасности, возникает ситуация, подобная той, что сложилась в крупном издательском холдинге (см. врезку 1). Поэтому во всем должен присутствовать здравый смысл и трезвое осознание ситуации.
Теперь определимся с выбором конкретных защитных систем, на базе которых и будем строить нашу защиту. Исторически на отечественном рынке популярностью пользовались отечественные разработки, такие как AidsTest и Adinf компании «ДиалогНаука», а также более поздняя разработка группы Евгения Касперского - AVP. Кроме того, заметную долю этого рынка в нашей стране занимают зарубежные продукты, такие как Norton Antivirus (Symantec Co.) и MacAfee (Networks Associates Technology, Inc.). При этом четко разделить между ними сегменты рынка антивирусного ПО невозможно вследствие их значительной универсальности, а также личных пристрастий пользователей. Тем не менее отдельные тенденции выделить все же можно. Так, большая часть пользователей операционных систем семейства MS-DOS и ранних версий MS Windows (до 3.11) используют антивирусный «тандем» компании «ДиалогНаука», а счастливые пользователи более старших версий MS Windows останавливают свой выбор на антивирусных комплексах от группы Касперского и Symantec. При этом часто выбор основан на личных предпочтениях и предыдущем опыте. К примеру, когда решалась проблема организации антивирусной защиты информационной системы Издательского дома «КомпьютерПресс», вопрос о программном обеспечении даже не поднимался. Выбор бы очевиден - Norton Antivirus Corporate Edition.
Предыстория этого выбора восходит к 1994 году, когда отечественные антивирусные разработки спасовали перед иноземной заразой, занесенной в домашний компьютер дискетой, прибывшей из Штатов. В приступе отчаяния в магазине «Библио-Глобус» (что на Мясницкой) был куплен единственный иноземный целитель, коим и оказался Norton Antivirus 2.0. В последующие годы я своими глазами наблюдал эволюцию этого продукта. Однако поскольку на отечественные вирусы реагировал он не всегда, сразу расстаться с AidsTest, Adinf и AVP не удалось. Это привело к пятилетнему совместному использованию данных антивирусов, обеспечив возможность их сравнительного тестирования. Если быть кратким, то отличительные особенности продуктов можно описать следующим образом:
На фоне столь блестящей отечественной антивирусной триады разработка Symantec первоначально ничем не выделялась. Однако начиная с версии 3.0 продукт стал с каждой новой версией приобретать новые возможности, расширяя и совершенствуя уже имеющиеся. Именно в нем были впервые применены такие революционные возможности, как механизм эвристического анализа данных на предмет «вирусоподобных» инструкций и обновление антивирусной базы по сети Internet (Live Update). Кстати - в отечественные разработки подобная функция была включена сравнительно недавно. Именно Symantec первым добился в своем комплексе практически полного снятия необходимости контроля его работы. Все, что требовалось от пользователя, - это канал доступа в Internet для автоматического получения обновлений. Именно поэтому, будучи студентом МГУ и одновременно администратором «кафедральной» сети (состоящей, к слову сказать, из пяти компьютеров, лучший из которых был P-PRO), я использовал именно этот программный продукт для обеспечения защиты научных данных, статей и своего диплома от вирусной заразы. Естественно, от Adinf я не отказался и регулярные проверки AidsTest выполнял. Однако функция контроля открываемых файлов и данных была возложена на антивирусный монитор из Norton Antivirus 3.0. Перелом наступил в 1998 году, когда, будучи системным администратором одного из крупнейших издательских холдингов, я констатировал факт полного соответствия списка определений вирусов в Norton Antivirus и в отечественных разработках. Все это, с учетом более быстрой работы и меньшего количества сбоев по сравнению с доступными аналогами, привело к построению антивирусной защиты компании по схеме А (см. врезку 1) на основе версии 4.0 антивирусного пакета компании Symantec. К сожалению, руководство не посчитало возможным приобрести более дорогую версию (Corporate Edition) этого пакета, что изрядно затрудняло работу инженеров сервисного центра по защите от вирусов и снижало эффективность построенной защиты. Дальнейший опыт доказал нерациональность использования пакета Norton Antivirus 4.0 в условиях крупной компании и обоснованность наших требований по приобретению более совершенной версии антивирусного ПО. В то же время за весь срок использования описываемого здесь пакета (более двух лет) ни одному вирусу не удалось вызвать даже локальную эпидемию, не говоря уже о потере данных. И это при том, что антивирусное ПО регулярно обновлялось исключительно на серверах. Рабочие же станции обновлялись лишь от случая к случаю, да еще при глобальных переездах и прочих стихийных бедствиях. В результате некоторые рабочие станции не обновлялись с момента установки на них антивируса. При этом система электронной почты и канал доступа в Internet никоим образом не контролировались. К слову, наши соседи (другое известное издательство) в 1999 году перенесло катастрофическую эпидемию знаменитого Win95.CIH, хотя использовало некий отечественный антивирусный продукт.
На этом мы завершим разговор о прошлом и обратим наш взор в светлое настоящее и радужное будущее.
К чести компании Symantec, она не остановилась на достигнутом и улучшила свою серию антивирусных продуктов, что привело к созданию новой версии системы корпоративной антивирусной защиты - Norton Antivirus Corporate Edition 7.01. Именно эта система, после непродолжительных обсуждений с руководством, была принята на вооружение Издательского дома «КомпьютерПресс». Однако в процессе переговоров с сотрудником компании Symantec наш выбор склонился в пользу двух пакетов, представляющих законченное антивирусное решение в рамках организации, а именно в пользу пакетов Norton Antivirus Solution 4.0 и Norton Antivirus Enterprise Solution 4.0. Состав этих пакетов приведен в таблице .
Первое впечатление от новой версии антивируса было неоднозначным. Прежде всего поразило практически полное отсутствие какой-либо бумажной документации. Скудное описание начальных шагов - не в счет. Тем не менее - вопреки привычной практике сначала ставить, а потом разбираться в документации - оно было неоднократно прочитано. Примерно при третьем прочтении где-то в середине мелким шрифтом мелькнуло предупреждение о необходимости правильной последовательности инсталляции компонентов. Еще страниц через пять эта последовательность была обнаружена. На естественный вопрос о первопричине скрытия этой ценнейшей информации среди подробных описаний этапов вскрытия коробки и правил запуска программ под MS Windows ответить было некому. Поэтому был распечатан компакт-диск - тут-то и началось самое интересное.
Прежде всего полную установку и настройку антивирусного программного обеспечения во всей сети можно осуществить с любого рабочего места. После установки центральной антивирусной консоли и перезагрузки мы приступили к установке антивируса на серверы. Предварительно пришлось выделить один из серверов на роль «карантина» и еще один - на роль сервера обновлений списка вирусов. Эти функции были возложены на сервер печати компании, что не привело к сколько-нибудь заметному замедлению ими выполнения своих основных функций. Процесс установки прошел гладко, без малейших нареканий и глупых вопросов со стороны инсталлятора. Единственное, что потребовалось от нас, это подойти к двум старым серверам и перезагрузить их, поскольку сделать это средствами операционной системы не представлялось возможным в связи с аппаратными проблемами. Все остальные серверы были успешно перезагружены удаленно , посредством соответствующей утилиты из NT Resource Kit.
После этого мы занялись пользователями. Поскольку устанавливать защиту всем одновременно не представлялось разумным из-за отсутствия информации о возможности сбоев и конфликтов программного обеспечения, нами был принят секретный список из семи пользователей, которые «добровольно-принудительно» получили антивирус. Только спустя три часа после проведения этого мероприятия один сотрудник заметил пиктограмму антивирусного монитора, а еще один компьютер, работающий под управлением MS Windows 2000 Professional, перестал грузиться. Симптомы, сопровождавшие столь возмутительное поведение компьютера, были крайне странными и неоднозначными. Во-первых, резко увеличилось время загрузки операционной системы. Во-вторых, перезапуск системы в безопасном режиме приводил к ее зависанию. Наконец (и это самое страшное), перестал запускаться сервис NetLogon, что является одной из самых страшных ошибок операционных систем семейства Windows NT. Поскольку переустановка системы была неприемлема вследствие планировавшейся перспективы установки этого антивирусного комплекса на остальные компьютеры с аналогичной операционной системой, было предпринято патолого-анатомическое исследование «покойника», дабы установить первопричину такой напасти. Уже непродолжительное вскрытие выявило преинтереснейшую вещь, а именно - строки в реестре, по внешнему виду наводящие на мысль об их родственных отношениях с отечественным антивирусным комплексом AVP. После допроса с пристрастием сотрудник признался в наличии на его машине антивирусного монитора из состава комплекса AVP. Дальнейшие действия свелись к ликвидации этого программного обеспечения с незначительной чисткой реестра, после чего рабочая станция загрузилась и как ни в чем не бывало продолжила работать. В результате было принято решение о необходимости предварительной зачистки рабочих станций от других антивирусных программ, что и было выполнено.
Установка соответствующих компонентов для защиты системы электронной почты и корпоративного брандмауэра прошла очень гладко и практически незаметно для пользователей. Кроме того, уменьшилась (на 5-7%) скорость загрузки файлов из Internet. Работа с электронной почтой заключалась в «вырезании» неизлечимого вложения из письма с отправкой его в карантин и рассылкой предупреждения ответственному сотруднику. Единственное, что можно рекомендовать при установке антивируса, - это обратить внимание на настройки защиты. К сожалению, они не всегда являются оптимальными.
После установки всего комплекса на часть компьютеров Издательского дома «КомпьютерПресс», выделенных в виртуальную тестовую сеть, началась активная обкатка всей системы. Полученный опыт можно сформулировать следующим образом:
Если суммировать абсолютно все, то весь комплекс заслуживает (с небольшой натяжкой) высшей оценки. Вот если бы еще документация была чуть более логичной... Не очень приятно, когда из-за крупицы ценной информации приходится перелопачивать огромное количество пустых инструкций.
В заключение хотелось бы упомянуть о заявленной, но, к сожалению (или к счастью), не опробованной нами новой возможности антивирусного пакета, а именно - об оперативном анализе подозрительных файлов и синтеза противоядия. Эта функция реализована в рамках карантинного сервера и представляется важной не только при отсутствии возможности получения обновленных определений вирусов, но и как последняя надежда при появлении в вашей сети неопознанного компьютерного монстра.
Удачи вам, и пусть использование вами этого прекрасного антивирусного комплекса не приведет к снижению частоты производимого резервного копирования. Как известно, на Бога надейся, а сам не плошай.
КомпьютерПресс 2"2001
Несмотря на наличие антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует.
Это происходит по нескольким причинам:
Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках
Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы
Отсутствует программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются
Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.
При комплексной защите локальной сети необходимо уделить внимание всем возможным точкам проникновения вирусов в сеть извне.
Рис.1 Общая структура антивирусной защиты локальной сети.
На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить, что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне невысокий уровень обнаружения, по
..\ююююююююююююююююююююююююююююююююЮэтому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.
Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и/или её хранении:
файл-серверы;
рабочие станции;
рабочие станции мобильных пользователей;
сервера резервного копирования;
почтовые сервера.
Как правило, использование одного (базового) антивирусного пакета для защиты локальной сети представляется наиболее целесообразным .
Однако анализ рынка антивирусных средств показывает, что в случае, когда мы имеем дело с большой корпоративной сетью, это не всегда возможно вследствие разнородности применяемых в сегментах сети операционных платформ.
Следующим после выбора пакетов шагом является их тестирование администратором безопасности на специальном стенде подразделения защиты информации.
Эта процедура позволяет выявить ошибки в антивирусном ПО, оценить его совместимость с системным и прикладным ПО, используемым на ПК и серверах сети. Опыт показывает, что такое тестирование оказывается далеко не лишним, поскольку разработчик не способен в полном объеме исследовать процесс функционирования своих антивирусных средств в условиях реальных сетей. Результаты тестирования направляются разработчику пакета, что позволяет тому провести необходимые доработки до начала массовой установки последнего.
Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:
монитор (резидентно размещается в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может: удалить зараженный объект, вылечить его, запретить к нему доступ);
сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);
сетевой центр управления (позволяет организовать управление АВЗ корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т.д.);
дополнительные модули , обеспечивающие проверку электронной почты и Web-страниц в момент получения информации.
Установку антивирусных пакетов и их настройку выполняют специалисты подразделения, осуществляющего техническое обслуживание сети. Программы "монитор" и "сканер" устанавливаются как на серверах, так и на ПК, причем первый настраивается на постоянное включение.
Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации , позволяющие исключить потерю информации в случае вирусного заражения.
Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью.
Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.
Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке антивирусных продуктов. Как правило, требуется создание отдельной подсистемы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего вновь приобретаемого антивирусного ПО, а также установке антивирусных пакетов на почтовые серверы
Современные технологии проникли во все сферы жизни среднестатистического человека - от рабочих будней до вечеров в условиях домашнего очага. И одними из наиболее распространенных девайсов, которые используют люди, являются ПК, планшеты и различные мобильные электронные устройства, способные выходить в сеть. На фоне такого прогресса, как некогда актуальной стала защита информации. Антивирусная защита является одной из граней этого комплекса мер. Интернет кишит враждебными программами, которые способны при попадании в любую систему повредить или уничтожить важные файлы.
Учитывая всю потенциальную и фактическую опасность различных вирусов, без надежных защитных средств современному пользователю не обойтись.
Самостоятельно контролировать все процессы, которые смогут активировать вредоносную программу фактически невозможно. Поэтому к безопасности нужно подойти системно.
Краткая инструкция о применении средств антивирусной защиты информациивыглядит следующим образом:
Обратить внимание на текстовый редактор и удостовериться в том, что там стоит защита от исполнения макросов;
Любые цифровые носители (флешки, диски) нужно проверять прежде, чем что-либо запускать с их помощью;
Инсталлировать на ПК надежную антивирусную программу, причем платную и в полном комплекте;
Актуальным также является периодическое резервное копирование любой важной информации.
То, что стоит понять в самом начале, так это бессмысленность попытки сэкономить на бесплатном ПО. Если применение средств антивирусной защиты информациидействительно является важным ввиду хранения на ПК ценных данных, то использовать какие-либо урезанные варианты вряд ли стоит.
Эту тему стоит рассмотреть для того, чтобы осознать тот факт, каким сильным угрозам на постоянной основе подвергаются операционные системы обычных пользователей и
Итак, антивирусные средства защиты информации ориентированы на противостояние вредоносным программам, которые могут разделяться по следующим признакам:
Деструктивные возможности;
Среда обитания;
Особенности алгоритма, лежащего в основе вируса;
Способ, посредством которого осуществляется заражение среды обитания.
Другими словами, вирусы могут загружаться в разные элементы системы и оказывать различное негативное воздействие. Например, способны внедряться в загрузочные сектора с диска или другого носителя, а также в выполняемые файлы. Помимо этого, есть немало угроз, которые распространяются в просторах сети, и могут попасть в систему при загрузке конкретного сайта или скачивании какой-либо программы.
Что касается степени деструктивности, то вирусы бывают как безобидные, так и крайне опасные. А вот в случае с особенностями алгоритма все немного сложнее: можно долго перечислять различные варианты от программ-невидимок до макровирусов.
Очевидно, что существующих угроз для системного обеспечения очень много, и количество их постоянно растет. Поэтому защита информации с помощью антивирусных программ становится неотъемлемой частью будней как обычных пользователей, так и крупных компаний.
Есть определенные признаки, которые являются ярким доказательством того факта, что на ПК был занесен вирус:
Объем оперативной памяти без объективных причин внезапно и ощутимо уменьшается;
Замедляется работа программ, которые раньше функционировали быстро;
Увеличиваются размеры файлов;
Появляются необычные файлы, которые ранее не были замечены в системе;
Могут возникать как звуковые, так и видеоэффекты, а также другие отклонения.
Словом, в работе операционной системы при заражении наблюдаются заметные сбои. Если подобные признаки были зафиксированы, то стоит проверить насколько эффективна действующая защита информации. постоянно совершенствуются, а это значит, что стоит оставить в стороне приверженность конкретному продукту и периодически искать наиболее эффективные системы защиты ПК.
Этот вид противодействия различным угрозам пользуется определенной популярностью в рунете. Не каждый пользователь настолько бережно относится к своему компьютеру, чтобы ежегодно оплачивать качественное ПО. Именно по этой причине в рамках темы «Инструкция по антивирусной защите информации» стоит рассмотреть перспективу использования подобного софта.
Суть в том, что бесплатные антивирусы изначально ограничены в своих возможностях. Потенциал они могут иметь достаточно неплохой, но за раскрытие всех граней продукта в большинстве случаев придется уже платить.
Основной риск здесь - отсутствие фиксации и последующей блокировки вирусной атаки во время использования интернета, что очень важно. Другими словами, выявить угрозу большинство таких антивирусов способны уже тогда, когда она постучалась в «двери» операционной системы, но и то не всегда. В качественной программе защиты всегда есть богатая база возможных вирусов, которая постоянно обновляется. Что касается бесплатных версий, то они также содержат подобные данные, но надежность распознавания угроз, в том числе самых новых, всегда остается под вопросом.
Некоторые бесплатные версии только фиксируют вирусы и не гарантируют их полноценного удаления.
Таким образом, стоит уяснить, что бесплатная версия - это либо «урезанный» вариант антивируса, либо же новая программа, которую только начинают продвигать в сети. А это означает, что вскоре она станет платной, как и другие.
Но есть одна возможность, которая заслуживает внимания и не требует затрат. Речь идет о бесплатной лечащей, находящейся на официальном сайте компании и способной качественно сканировать всю систему на предмет угроз. Такая антивирусная защита компьютерной информации особенно актуальная, когда уже появились какие-либо проблемы. Ярким примером подобной утилиты является продукт под маркой "Доктор Веб". Ее инсталляция позволяет провести однократную проверку ПК и восстановить причиненный ущерб, уничтожив вредоносные программы. Но чтобы пользоваться возможностями данного антивируса на постоянной основе, придется заплатить.
Все платные антивирусы можно разделить на несколько ключевых групп, каждая из которых ориентирована на определенную доминирующую функцию.
Этот перечень выглядит следующим образом:
Программы-доктора;
Ревизоры;
Вакцины;
Фильтры;
Детекторы.
Каждый из них может понадобиться в таком нелегком и ответственном деле, как организация защиты информации. Антивирусная защита, например, из категории «Доктор», способна не только обнаружить угрозу, но и вылечить систему, что является крайне актуальным свойством. В этом случае тело вируса удаляется из пораженного файла, а последний возвращается в исходное состояние.
Изначально такие программы, называемые фаги, занимаются поиском вирусов, и если находят таковые, то, прежде всего, их уничтожают и лишь затем активируют восстановительные процессы.
Если компьютер в силу различных причин постоянно подвергается воздействию значительного количества угроз, то есть смысл использовать полифаги, которые предназначены специально для таких нагрузок.
Что касается детекторов, то они необходимы для быстрого поиска вирусов в различных носителях и оперативной памяти в частности. Такие антивирусные системы и защита информации не могут рассматриваться отдельно друг от друга.
Внимание стоит уделить и программам-фильтрам. Они созданы для обнаружения подозрительных процессов в системе. Именно благодаря работе таких антивирусов пользователи периодически видят на мониторе предупреждения о том, что конкретная программа пытается выполнить некорректное или подозрительное действие.
Программы-ревизоры являются еще одним инструментом, использования которого требует защита информации. Антивирусная защита такого типа занимается обнаружением стелс-вирусов и фиксацией потенциально опасных изменений в работе системы.
Программы-вакцины нужны для предотвращения заражения, что является оптимальной стратегией защиты. Их использование особенно актуально в том случае, если на ПК не установлены надежные фильтры, а значит есть риск, что все поврежденные файлы не будут полноценно восстановлены.
Известные компании создают продукты, которые сочетают в себе все вышеупомянутые свойства.
Итак, очевидно, что защита информации обеспечивается применением антивирусных средств. Но для эффективной организации этого процесса стоит представлять себе хотя бы общий алгоритм действий.
Защитное ПО ориентировано на 3 ключевые задачи:
Профилактика заражения;
Диагностика состояния операционной системы и файлов;
Лечение.
Под профилактикой стоит понимать как блокировку различных путей доступа вирусов к ПК, так и предотвращение заражения вредоносными программами, которые уже находятся в системе. Что касается диагностики, то здесь речь идет об антивирусах, способных обнаружить угрозу в компьютере, а также идентифицировать конкретный ее тип.
Лечение также является тем инструментом, без которого не может быть полноценной современная защита информации. Антивирусная защита такого вида прежде всего удаляет обнаруженные угрозы, а после восстанавливает нанесенные повреждения.
Говоря о защитном комплексе, который используют фактически все компании и частные пользователи, стоит понимать суммарное применение всех упомянутых выше программ.
Также поднимая вопрос защиты, нужно обратить внимание на тот факт, что значительно сократить количество вирусных атак поможет использование лицензионных программ. Пиратские версии - это всегда игра с огнем.
Фактически, если перевести это слово, то получится «огненная стена». Таким названием разработчики пытались передать ключевую функцию этого инструмента - защита, не позволяющая соединиться с компьютером, потенциальным угрозам.
И хотя о подобном ПО уже говорилось выше, этому комплексу утилит стоит уделить больше внимания. Благодаря их действию пропускаются лишь те пакеты данных и файлы, которые находятся в соответствии с требованиями системы.
Данная утилита - это актуальный инструмент, без которого невозможна полноценная защита информации. Вредоносные и постоянно развиваются и последние должны работать на опережение, то есть не допускать заражение изначально. В противном случае можно поплатиться пусть не всеми данными, но их частью, что тоже является ощутимым ущербом.
Именно файервол помогает получить нужный эффект в защите компьютера во время работы в сети. Такой сетевой экран просто необходим для безопасной работы в интернете. Поэтому нужно так подбирать антивирусник, чтобы он обладал подобной функцией, причем реализованной на достойном уровне.
Рассматривая такие темы, как защита информации, и антивирусные программы, стоит уделить внимание тому факту, как именно работает сетевой экран.
Итак, наиболее ценными являются следующие возможности такого ПО:
Извещение пользователя о факте или попытке ее совершить;
Фильтрация доступа к ПК;
Выявление подозрительных реакций и процессов в системе;
Блокировка возможности изменения настроек доступа к сети;
Контроль доступа ко всем сетям и узлам;
Защищает подсети от доступа программ-шпионов и попыток воровства информации.
Если оценивать файерволы по степени масштабности защиты, которую они способны предоставить, то можно выделить два ключевых вида: личные и корпоративные.
В первом случае речь идет о сетевой стене, которая актуальна для обычного пользователя, эксплуатирующего компьютер для личных целей. Что касается второго типа, то он ориентирован на эффективную защиту внутренних сетей различных компаний. Это означает, устанавливается на шлюз между интернет-сетью и локальной.
Соответственно, настройки таких файерволов могут отличаться от стандартных версий. Но в любом случае позаботиться о наличии качественной огненной стены просто необходимо.
Для того чтобы антивирусная программа защищала все необходимые данные, нужно выполнить несколько простых действий.
Прежде всего стоит выбрать наиболее надежный продукт (здесь помогут форумы и рейтинги). После нужно приобрести его платную версию. Далее следует процесс установки, который ничем не отличается от инсталляции обычной программы. Когда он будет завершен, компьютер придется перезагрузить и выбрать актуальные настройки программы.
По завершении данного этапа необходимо запустить сканирование ПК на предмет угроз и повреждений. Если вирусы будут найдены, защита предложит их уничтожить. Важно понимать, что перед установкой новой антивирусной программы лучше удалить старую, если таковая была.
При помощи данного несложного алгоритма действий будет обеспечена защита информации. Антивирусная защита, как правило, оплачивается один раз в год, а нужная сумма является доступной фактически любому обывателю.
Итак, выбирая соответствующее программное обеспечение для сохранения рабочего состояния своего компьютера, стоит обратить внимание на бренды, которые успели зарекомендовать себя исключительно с положительной стороны.
Начнем с известного многим Dr.Web. Он эффективно идентифицирует, блокирует и удаляет троянские программы, сетевые, почтовые черви, стелс-вирусы, угрозы, поражающие офисные приложения, программы-похитители паролей, различные вредоносные скрипты и многие другие виды угроз.
Отличительной особенностью Dr.Web является его способность эффективно лечить зараженный компьютер. Если машина уже находится в плачевном состоянии, то останавливать свой выбор нужно именно на этой антивирусной программе. Более того, именно в данном продукте содержится одна из наиболее полных и при этом компактных вирусных баз.
Антивирус Касперского. Это российский продукт, который стал очень известным на постсоветском пространстве. В данном случае стоит обратить внимание на поведенческий модуль. Речь идет о блокираторе, который эффективно контролирует выполнение макросов и способен пресекать любые действия, попадающие в категорию подозрительных.
Именно использование данного модуля обеспечивает надежную защиту от макровирусов.
Также Касперский обладает прекрасным ревизором, основной функцией которого является отслеживание любых изменений в системе и фиксация несанкционированных процессов.
Обратить внимание нужно и на такие инструменты защиты, как фоновый перехватчик вирусов, эвристический анализатор, а также антивирусная фильтрация. Другими словами, набор средств защиты в продукте под маркой «Касперский» заслуживает уважения.
Eset NOD32 тоже относится к популярным защитным программам. Он прекрасно подойдет для обычных пользователей, поскольку дает нужный эффект и несильно грузит систему. Его использование дает гарантии проактивного выявления и обезвреживания любых угроз.
Очевидно, что эффективная защита информации обеспечивается применением антивирусных средств. Поэтому к приобретению действительно качественного ПО стоит подойти серьезно.
На сегодняшний день нет необходимости доказывать необходимость построения антивирусной защиты любой информационной системы. По оценкам западных аналитиков общемировой ущерб от проникновения вирусов, червей, троянских и других вредоносных программ составляет от 8 до 12 миллиардов долларов. Достаточно вспомнить последние эпидемии, охватившие весь мир (I-Worm.LoveLetter, I-Worm.Nimda, I-Worm.Klez). При этом вирусная опасность с каждым годом растёт всё больше и больше. Объясняется это, с одной стороны возрастающим количеством и разнообразием компьютерной инфекции, а с другой - уязвимостью локальных сетей, за счёт проникновения в них вирусов из внешний сетей, в том числе по каналам электронной почты сети Internet.
Но, тем не менее, на практике антивирусной защите не уделяется должного внимания. Даже разработчики комплексных систем информационной безопасности часто ограничиваются рекомендациями по выбору антивирусного пакета, а также оказывают помощь в его настройке.
Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-развлетвлённой инфраструктурой. Их вычислительные сети, как правило, создавались поэтапно, с использованием различного аппаратного и программного обеспечения. Очевидно, что для таких предприятий вопрос антивирусной защиты становится весьма сложным, причём не только в техническом, но и в финансовом плане.
Вместе с тем решение этого вопроса достигается путём сочетания организационных мер и программно-технических решений. Данный подход не требует больших технических и немедленных финансовых затрат, и может быть применён для комплексной антивирусной защиты локальной сети любого предприятия.
В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:
Принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия. Эта политика носит долгосрочный характер, утверждается руководством предприятия и является основой для целевого и долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшее обновление.
Принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации.
Принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов.
Принцип централизованного управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств. Именно этот орган организует централизованный контроль в сети, получает данные контроля или доклады пользователей со своих рабочих мест об обнаружении вирусов и обеспечивает внедрение принятых решений по управлению системой антивирусной защиты.
С учётом этих принципов в комплексной системе информационной безопасности создаётся подразделение антивирусной защиты, которая должна решать следующие задачи:
Для решения этих задач в комплексной системе информационной безопасности кроме администраторов информационной безопасности создаются администраторы антивирусной защиты. Если ЛВС небольшая или достаточно хорошо оснащена антивирусным ПО, то назначение специального администратора антивирусной защиты чаще всего нецелесообразно, так как его функции может выполнять администратор безопасности сети.
Для организации функционирования антивирусной защиты необходима разработка внутренних организационно-распорядительных документов. Кроме того, должны быть определены порядки передачи сообщений о вирусах от пользователей и оповещений администраторов о фактах и возможностях вирусных заражений локальной сети.
Эффективность создаваемой подсистемы антивирусной защиты зависит также от выполнения следующих дополнительных условий:
Практическая реализация антивирусной защиты информации на серверах и ПК корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети. К ним относятся:
Рассмотрим эти методы более подробно.
Главным методом антивирусной защиты является установка антивирусных пакетов . Выбор антивирусного ПО является одной из важнейших задач антивирусной защиты, от правильности решения которой в дальнейшем будут зависеть антивирусная безопасность системы, а также затраты на ее поддержание. Используемые антивирусные средства должны удовлетворять следующим общим требованиям:
В отличие от других подсистем информационной безопасности в рассматриваемой области отсутствуют четко сформулированные показатели защищенности и соответствующие критерии сравнения различных антивирусных средств. Как правило антивирусные комплексы сравниваются по следующим показателям: обнаружение, лечение, блокирование, восстановление, регистрация, обеспечение целостности, обновление базы данных компьютерных вирусов, защита антивирусных средств от доступа паролем, средства управления, гарантии проектирования, документация.
При комплексной защите локальной сети необходимо уделить внимание всем возможным точкам проникновения вирусов в сеть извне.
На рисунке 1 приведена общая структура антивирусной защиты локальной сети. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить, что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.
Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и/или её хранении:
Как правило, использование одного (базового) антивирусного пакета для защиты локальной сети представляется наиболее целесообразным. Однако анализ рынка антивирусных средств показывает, что в случае, когда мы имеем дело с большой корпоративной сетью, это не всегда возможно вследствие разнородности применяемых в сегментах сети операционных платформ.
Следующим после выбора пакетов шагом является их тестирование администратором безопасности на специальном стенде подразделения защиты информации. Эта процедура позволяет выявить ошибки в антивирусном ПО, оценить его совместимость с системным и прикладным ПО, используемым на ПК и серверах сети. Опыт показывает, что такое тестирование оказывается далеко не лишним, поскольку разработчик не способен в полном объеме исследовать процесс функционирования своих антивирусных средств в условиях реальных сетей. Результаты тестирования направляются разработчику пакета, что позволяет тому провести необходимые доработки до начала массовой установки последнего.
Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:
Установку антивирусных пакетов и их настройку выполняют специалисты подразделения, осуществляющего техническое обслуживание сети. Программы "монитор" и "сканер" устанавливаются как на серверах, так и на ПК, причем первый настраивается на постоянное включение.
При обнаружении вирусов пользователям не рекомендуется заниматься "самолечением", так как это может привести к потере информации. В таких случаях им следует по "горячей линии" обращаться к администраторам антивирусной защиты, которые принимают меры по обезвреживанию вирусов и предотвращению дальнейшего заражения.
Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации, позволяющие исключить потерю информации в случае вирусного заражения. Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью. Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.
Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке антивирусных продуктов. Как правило, требуется создание отдельной подсистемы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего вновь приобретаемого антивирусного ПО, а также установке антивирусных пакетов на почтовые серверы.
Об авторе: Олег Сыч, руководитель антивирусной лаборатории ООО "Украинский Антивирусный Центр" ; e-mail [email protected]
|
29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети. |
 |
|---|---|
|
28 февраля 2014 Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны. |
 |
|
28 января 2014 По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы. |
 |
|
30 декабря 2013 Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера. |
 |
Описание презентации по отдельным слайдам:
1 слайд
Описание слайда:
2
слайд
Описание слайда:
Компьютерный вирус - это целенаправленно созданная программа, автоматически приписывающая себя к другим программным продуктам, изменяющая или уничтожающая их. Компьютерные вирусы могут заразить компьютерные программы, привести к потере данных и даже вывести компьютер из строя. Компьютерные вирусы могут распространяться и проникать в операционную и файловую систему ПК только через внешние магнитные носители (жесткий и гибкий диски, компакт-диски) и через средства межкомпьютерной коммуникации.
3
слайд
Описание слайда:
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Загрузочные вирусы внедряются в загрузочный сектор диска или сектор, содержащий программу загрузки системного диска. Файлово - загрузочные вирусы заражают файлы и загрузочные сектора дисков. Классы вредоносных программ
4
слайд
Описание слайда:
По способу заражения вирусы разделяются на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.д.) и внедряется в них. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Классы вредоносных программ
5
слайд
Описание слайда:
По степени воздействия выделяют: неопасные вирусы, которые не мешают работе компьютера, опасные, которые могут привести к различным нарушениям в работе компьютера, очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска. Классы вредоносных программ
6
слайд
Описание слайда:
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
7
слайд
Описание слайда:
1. Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и файлах и при обнаружении выдают соответствующие сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. 2. Программы-доктора или фаги не только находят зараженные вирусами файлы, но и возвращают файлы в исходное состояние. В начале своей работы флаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Виды антивирусных программ
8
слайд
Описание слайда:
3. Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаружение изменения выводится на экран монитора. 4. Программы - вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Виды антивирусных программ
9
слайд
Описание слайда:
5. Программы-фильтры или сторожа, представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов: попытка коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. При попытке вирусной атаки сторож посылает сообщение и предлагает запретить или разрешить соответствующие действия. Виды антивирусных программ
