Виды антивирусных программ:

Детекторы ищут в памяти и в файлах характерные коды вирусов и выдают соответствующее сообщение.

Доктора (фаги, полифаги) находят зараженные файлы и удаляют из них коды вирусов. В начале своей работы фаги ищут и уничтожают вирусов в оперативной памяти, затем переходят к "лечению" файлов. Наиболее известные полифаги, предназначенные для уничтожения многих вирусов: Aidstest, Scan - старые , Norton AntiVirus (NAV), Doctor Web , Antiviral Toolkit Pro 3.0 (AVP) наиболее популярные .

Ревизоры относятся к самым надежным средствам защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска, заведомо не зараженного вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным и выводят обнаруженные изменения на экран монитора. При сравнении проверяются длина файла, контрольная сумма, дата и время модификации. В России распространена программа-ревизор Adinf. Ревизор может самостоятельно восстанавливать файлы, но часто используется в связке с полифагом.

Фильтры, или "сторожа", представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

– попытки изменения исполнимых файлов (с расширением ЕХЕ, СОМ);

– изменение атрибутов файла;

– прямая запись на диск по абсолютному адресу;

– запись в загрузочные сектора диска;

– загрузка резидентной программы.

При попытке совершить указанные действия "сторож" посылает на экран сообщение и просит разрешения на их выполнение, что может раздражать пользователя. Программа-фильтр Vsafe входит в состав утилит MS DOS .

Вакцины, или иммунизаторы, - резидентные программы, предотвращающие заражение файлов известными вирусами. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на работе программы, а вирус воспринимает их как зараженные и не внедряется. Вакцины имеют ограниченное применение.

Защита информации в сетях эвм

Компьютерные сети можно классифицировать по нескольким критериям:

• по масштабу: локальные, глобальные (Интернет) и высокоскоростные сети мегаполисов (MAN);

• по способу организации - централизованные и децентрализованные;

• по топологии (конфигурации, архитектуре) - звезда, кольцо, шина и смешанные.

Корпоративная сеть (сеть организации) обычно состоит из одной или нескольких подсетей, связанных частными каналами, а при больших расстояниях между подразделениями - каналами общего пользования (Интернет, MAN). Обмен информацией между удаленными подразделениями, а часто и в локальных сетях происходит в зашифрованном виде. Обычно в сетях выделяют компьютеры для хранения и обработки данных - серверы, а компьютеры рядовых пользователей не располагают ресурсами для обработки, и их программное обеспечение обеспечивает связь с сервером и удобство работы ("тонкий клиент"). Такая идеология называется "клиент - сервер", при этом под клиентом понимается программа для связи с сервером, пересылки на него запросов и передачи ответов в пользовательскую программу, а сервером называется еще и программа для приема запросов от программы-клиента, их передачи системе управления базой данных (СУБД) и передача ответов СУБД клиенту. При этом клиентская машина может быть карманным компьютером или мобильным телефоном с выходом в Интернет по протоколу GPRS .

Реальную опасность при передаче данных представляют следующие угрозы:

1. Прослушивание каналов и анализ сообщений;

2. Уничтожение сообщений;

3. Искажение сообщений;

4. Отправка ложных сообщений;

5. Присвоение злоумышленником чужого идентификатора для получения и отправки сообщений от другого имени;

6. Разрыв линии связи;

7. Внедрение сетевых вирусов.

Основные меры по защите передаваемых данных:

• Аутентификация объектов и контроль доступа;

• Шифрование передаваемых данных;

• Контроль целостности передаваемых данных (хэш-функции и т.д.);

• Арбитражное обеспечение (электронная подпись);

• Аудит с выявлением нетипичного поведения пользователей, программ, аппаратуры; известны системы аудита EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances - Мониторинг событий, способный реагировать на аномалии и нарушения) и NFR ( Network Flight Recorder - Записыватель событий в узлах сети);

• Экранирование, или разграничение межсетевого потока;

• Контроль защищенности - попытки взлома "своими" хакерами;

• Обнаружение отказов и оперативное восстановление аппаратных средств, программ и данных.

Основы безопасности в сетях Интернет или использующих протоколы (правила) по его семиуровневой модели ISO/OSI , описаны в международных стандартах ISO/IEC 7498-2 и Х.800, а процедуры аутентификации - в стандарте Х.509.

Эффективные программно-аппаратные средства защиты информации в сетях - межсетевые экраны, или брандмауэры, которые могут анализировать пакеты с данными и принимать решение об их дальнейшей судьбе: пропустить, уничтожить или запросить оператора. Аппаратные брандмауэры вставляются в маршрутизаторы сети, в частности - в маршрутизаторы на входе из Интернета в корпоративную сеть, а также в серверы администраторов сети.

Другой вариант - наличие в компьютере, подключенном к Интернету, специальной программы, которая позволяет подключенным к нему другим компьютерам корпоративной сети выходить через него в Интернет, оставаясь "невидимыми", т.е. недоступными для злоумышленников, рекламы и вирусов. Такой компьютер называется прокси-сервером (proxy - доверенный ) и выполняет функции брандмауэра, а программа - также прокси-сервером, например, Microsoft Proxy Server 2.0 . Часто используется сочетание фильтрующего маршрутизатора и прокси-сервера.

Ключ к организации эффективной антивирусной защиты - наличие адекватного антивирусного средства. Несмотря на все разнообразие современных антивирусных программных продуктов принципы их работы одинаковы. К основным функциям современных антивирусов относятся:

• сканирование памяти и содержимого дисков по расписанию;

• сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;

• выборочное сканирование файлов с измененными атрибутами - размером, датой модификации, контрольной суммой и прочими;

• сканирование архивных файлов;

• распознавание поведения, характерного для компьютерных вирусов;

• удаленная установка, настройка и администрирование антивирусных программ с консоли системного администратора; оповещение системного администратора о событиях, связанных с вирусными атаками, по электронной почте, пейджеру и так далее;

• принудительная проверка подключенных к корпоративной сети компьютеров, инициируемая системным администратором;

• удаленное обновление антивирусного ПО и баз данных с информацией о вирусах, в том числе автоматическое обновление баз данных по вирусам посредством Internet;

• фильтрация трафика Internet на предмет выявления вирусов в программах и документах, передаваемых посредством протоколов SMTP, FTP, HTTP;

• выявление потенциально опасных Java-апплетов и модулей ActiveX;

• функционирование на различных серверных и клиентских платформах, а также в гетерогенных корпоративных сетях;

• ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.

Одной из основных характеристик современных вирусных атак является их высокая скорость распространения и высокая частота появления новых атак. Следовательно, современное антивирусное программное обеспечение должно обновляться как можно чаще, повышая качество защиты, то есть учитывая все актуальные на текущий момент времени вирусные угрозы. Но, как сказал один автор, серебряных пуль не существует. Наличие антивирусного программного обеспечения - необходимое, но недостаточное условие для отражения вирусной атаки. Мало иметь в своем распоряжении средство, требуется продумать методы его использования. Защита от вирусов должна быть элементом политики безопасности организации, которую понимают и соблюдают все пользователи системы.

Для того чтобы сформулировать главные принципы антивирусной политики безопасности, необходимо вспомнить основные моменты, относящиеся к вирусной атаке.

1. Вирусная атака состоит из двух фаз - фаза заражения и фаза распространения (и, возможно, выполнения деструктивных действий).

2. Современные вирусы часто распространяются не только с помощью исполняемых файлов, но и с помощью файлов-документов популярных программ.

3. Современные вирусы при атаке часто используют возможности Internet.

Очевидно, что лучший способ борьбы с атакой - предотвращение. Решение этой задачи предусматривает ряд "штатных" позиций.

1. Необходимо соответствующим образом сконфигурировать антивирусное программное обеспечение. Для этого произвести следующие установки антивируса:

• сканирование в режиме реального времени, в фоновом или аналогичном режиме, должно быть разрешено;

• при старте системы должны сканироваться память, загрузочный сектор и системные файлы;

• своевременно обновлять вирусные базы данных;

• желательно сканировать все типы файлов или как минимум *.com, *.exe файлы, а также файлы типа *.vbs, *.shs, *.ocx;

• установить аудит всех действий антивирусных программ.

2. Использовать только лицензионное программное обеспечение. Программное обеспечение, полученное из неизвестного источника, может быть троянским или зараженным вирусом.

3. Ограничить набор программ, которые пользователь способен установить в системе (посторонние программы могут быть заражены вирусами или служить причиной успеха других атак). Особо следует обратить внимание на различные сервисы Internet и, в первую очередь, на программы передачи сообщений, такие как IRC, ICQ, Microsoft Chat (они могут передавать файлы и служить источником заражения системы).

4. Желательно устранить известные уязвимости в используемом программном обеспечении (они обычно публикуются в списках рассылки Internet, а также на специальных сайтах). В качестве источника информации об уязвимостях можно порекомендовать базу данных на сайте www.securityfocus.com.

5. Контролировать использование накопителей гибких дисков и дисков CDROM. В идеале вся информация, содержащаяся на гибких дисках и дисках CDROM, должна быть проверена на наличие вирусов до того, как к ней будет осуществлен доступ со стороны пользователей вычислительной системы.

6. Разработать политику обработки электронной почты (как составной элемент политики безопасности). Как было отмечено в предыдущей статье, сообщения электронной почты - один из самых популярных и быстрых способов распространения вирусов. Для защиты от проникновения вирусов через сообщения электронной почты каждый пользователь системы должен:

• никогда не открывать сразу почтовое вложение в пришедшем ему сообщении, а сохранять его в определенном "карантинном" каталоге;

• если отправитель неизвестен, сообщение с вложением может быть удалено, но даже когда отправитель известен, сообщение может содержать вирус; поэтому общее правило формулируется следующим образом: никогда не открывать почтовых вложений, которые не были запрошены или о которых не было уведомления от отправителя;

• перед открытием вложения обязательно проверить его с помощью антивирусного программного обеспечения;

• если после выполнения всех этих процедур остались сомнения, стоит связаться с отправителем и выяснить у него информацию о посланном вложении;

• устранить возможные уязвимости в клиентском почтовом программном обеспечении.

7. Разработать политику безопасности приложений (особенно если в организации используется семейство продуктов Microsoft Office), обрабатывающих документы с интерпретируемыми языками (как составной элемент политики безопасности).

Предположим, заражение уже произошло - что пользователь должен делать в этом случае? Прежде всего, не надо паниковать.

Первый шаг при обнаружении атаки на систему - идентификация. Для успешной идентификации атаки необходимо наличие загрузочного диска, создаваемого при установке системы, и осуществление загрузки системы с его помощью.

Если атака идентифицируется антивирусом, проблема решается фактически моментально. Но, если вы имеете дело с неизвестным вирусом, во многих случаях критичным является время, за которое была идентифицирована атака. Поэтому большое значение имеет способность пользователя быстро обнаружить вирусную атаку (признаками могут служить массовая рассылка почты, уничтожение файлов и т.д.). Сложность идентификации часто зависит от сложности самой атаки. На данном этапе желательно установить как минимум следующие признаки: сам факт атаки, ее тип (сетевая или локальная) и источник происхождения.

Вне зависимости от типа ОС необходимо обращать внимание на следующую активность в системе:

• целостность ПО используемого для обнаружения нарушителя;

• целостность критичных для безопасности системы программ и данных;

• операции в системе и сетевой трафик.

Если вы смогли определить факт вирусного заражения неизвестным вирусом (или у вас есть такие небезосновательные подозрения), то желательно обратиться к производителю используемого антивирусного программного обеспечения.

И наконец, необходимо провести анализ последствий вирусной атаки. Если в вашей системе обрабатывались какие-то ценные данные, то настоятельно рекомендуется иметь их резервную копию. Для этого в организации должны быть разработаны правила резервного копирования. К сожалению, если резервная копия отсутствует, данные могут быть утеряны (это уже зависит не от вас, а от злоумышленника, написавшего вирус).

После оценки ущерба советую устранить причины, приведшие к проникновению вируса в систему с использованием способов, описанных выше.

В любом случае необходимо помнить: наличие адекватных средств защиты и дисциплины их применения позволяет если не избежать вирусной атаки, то, по крайней мере, минимизировать ее последствия.