Una dintre condiții munca siguraîntr-un sistem informatic este respectarea de către utilizator a unui număr de reguli care au fost testate în practică și s-au dovedit a fi extrem de eficiente. Există mai multe dintre ele:
- Utilizare produse software obţinute prin mijloace legale şi oficiale. Probabilitatea ca o copie piratată să conțină un virus este de multe ori mai mare decât cea a unui software obținut oficial.
- Dublarea informațiilor. În primul rând, este necesar să salvați mediul de distribuție a software-ului. În acest caz, scrierea pe media care permite această operațiune ar trebui blocată, dacă este posibil. Trebuie acordată o atenție deosebită păstrării informatii de lucru. Este de preferat să creați în mod regulat copii ale fișierelor de lucru pe medii de stocare amovibile de computer cu protecție la scriere. Se copiază fie întregul fișier, fie doar modificările efectuate. Ultima opțiune este aplicabilă, de exemplu, atunci când lucrați cu baze de date.
- Actualizări regulate de software de sistem. Sistemul de operare trebuie actualizat în mod regulat și trebuie instalate toate corecțiile de securitate de la Microsoft și de la alți producători pentru a aborda vulnerabilitățile software existente.
- Restricționarea accesului utilizatorului la setări sistem de operareși date de sistem. Pentru a asigura funcționarea stabilă a sistemului, este adesea necesar să se limiteze capacitățile utilizatorilor, ceea ce se poate face fie folosind încorporat Instrumente Windows, sau folosind programe specializate concepute pentru a controla accesul la un computer.
Poate fi folosit în rețelele corporative politici de grupîntr-o rețea de domeniu Windows.
- Pentru maxim utilizare eficientă resursele rețelei, este necesar să se introducă restricții privind accesul utilizatorilor autorizați la resursele rețelei interne și externe și să se blocheze accesul utilizatorilor neautorizați.
- Utilizarea regulată a produselor antivirus. Înainte de a începe lucrul, este recomandabil să rulați programe de scanare și programe de audit. Bazele de date antivirus trebuie actualizate regulat. În plus, este necesar să se efectueze monitorizarea antivirus a traficului de rețea.
- Protecția împotriva intruziunilor în rețea este asigurată prin utilizarea de software și hardware, inclusiv: utilizarea de firewall-uri, sisteme de detectare/prevenire a intruziunilor IDS/IPS (Intrusion Detection/Prevention System) și implementarea tehnologiilor VPN (Virtual Private Network).
- Aplicarea mijloacelor de autentificare și criptografie - utilizarea parolelor (simple/complexe/nerepetabile) și a metodelor de criptare. Nu este recomandat să folosiți aceeași parolă resurse diferiteși dezvăluie informații despre parolă. Când scrieți o parolă pe site-uri, ar trebui să fiți deosebit de atenți pentru a preveni introducerea parolei pe un site duplicat fraudulos.
- O atenție deosebită trebuie acordată atunci când utilizați medii de stocare amovibile noi (necunoscute) și fișiere noi. Noile medii amovibile trebuie verificate pentru absența virușilor de boot și a fișierelor, iar fișierele primite trebuie verificate pentru prezența virușilor de fișiere. Când lucrați în sisteme distribuite sau în sisteme de utilizare partajată, este recomandabil să verificați noile medii de stocare amovibile și fișiere introduse în sistem pe computere special desemnate în acest scop care nu sunt conectate la retea locala. Numai după o scanare antivirus cuprinzătoare a discurilor și fișierelor pot fi transferate utilizatorilor sistemului.
- Când lucrați cu datele primite (de exemplu, prin E-mail) documente și tabele, este recomandabil să interziceți executarea comenzilor macro prin mijloace integrate în editorii de text și foi de calcul (MS Word, MS Excel) până la finalizarea unei scanări complete a acestor fișiere.
- Dacă nu intenționați să scrieți informații pe medii externe, atunci trebuie să blocați această operațiune, de exemplu, dezactivând software-ul porturile USB.
- Când lucrați cu resurse partajate în rețele deschise(de exemplu, Internetul) utilizați numai resurse de rețea de încredere care nu conțin conținut rău intenționat. Nu ar trebui să aveți încredere în toate informațiile primite pe computerul dvs. - e-mail-uri, link-uri către site-uri Web, mesaje pe paginile de internet. Nu este strict recomandat să deschideți fișiere și link-uri care provin dintr-o sursă necunoscută.
Respectarea constantă a acestor recomandări poate reduce semnificativ probabilitatea de infectare cu viruși software și protejează utilizatorul de pierderea irecuperabilă a informațiilor. Cu toate acestea, chiar dacă toate regulile de prevenire sunt respectate cu scrupulozitate, posibilitatea infectării computerului cu viruși informatici nu poate fi exclusă complet, prin urmare metodele și mijloacele de combatere a malware-ului trebuie îmbunătățite în mod constant și menținute în stare de funcționare.
Instrumente de protecție a informațiilor antivirus
Răspândirea masivă a software-ului rău intenționat și consecințele grave ale impactului acestuia asupra sistemelor și rețelelor informaționale au necesitat dezvoltarea și utilizarea unor agenți antivirusși metodele de aplicare a acestora.
Trebuie remarcat faptul că nu există instrumente antivirus care să garanteze detectarea tuturor programelor de virus posibile.
Instrumentele antivirus sunt folosite pentru a rezolva următoarele probleme:
- detectarea malware-ului în sistemele informaționale;
- blocarea programelor malware;
- eliminarea consecințelor malware-ului.
Este recomandabil să detectați malware-ul în stadiul introducerii acestuia în sistem sau, la macar, înainte de a începe să efectueze acțiuni distructive. Dacă un astfel de software sau activitatea acestuia este detectată, este necesar să opriți imediat programul de virus pentru a minimiza daunele cauzate de impactul acestuia asupra sistemului.
Eliminarea consecințelor virușilor se realizează în două direcții:
- eliminarea virusului;
- recuperarea (dacă este necesar) de fișiere, zone de memorie.
Procedura de eliminare a codului rău intenționat detectat dintr-un sistem infectat trebuie efectuată cu deosebită atenție. Adesea viruși și troieni luați acțiuni speciale pentru a ascunde faptul prezenței lor în sistem sau să se integreze în acesta atât de profund încât sarcina de a-l distruge devine destul de netrivială.
Recuperarea sistemului depinde de tipul de virus, precum și de momentul detectării acestuia în raport cu declanșarea acțiunilor distructive. În cazul în care un program antivirus rulează deja pe sistem și activitatea acestuia implică modificarea sau ștergerea datelor, restaurarea informațiilor (mai ales dacă nu sunt duplicate) poate fi imposibilă.Pentru combaterea virușilor se folosesc software și firmware care sunt utilizate într-un anumită secvență și combinație, formând metode de protecție împotriva programelor malware.
Următoarele metode de detectare a virușilor sunt cunoscute și sunt utilizate în mod activ de instrumentele antivirus moderne:
- scanare;
- detectarea schimbărilor;
- analiza euristica;
- utilizarea gardienilor rezidenți;
- utilizarea software-ului și a hardware-ului de protecție împotriva virușilor.
Scanare- una dintre cele mai metode simple detectarea virușilor este efectuată de un program de scanare care scanează fișierele în căutarea unei părți de identificare a virusului - semnături. O semnătură este o secvență unică de octeți care aparține unui anumit virus și nu se găsește în alte programe.
Programul detectează prezența virușilor deja cunoscuți pentru care a fost definită o semnătură. Pentru aplicare eficientă Programele antivirus care folosesc metoda de scanare trebuie să actualizeze în mod regulat informații despre virușii noi.
Metodă detectarea schimbărilor se bazează pe utilizarea programelor de audit care monitorizează modificările în fișierele și sectoarele de disc de pe computer. Orice virus modifică cumva sistemul de date de pe disc. De exemplu, sectorul de boot se poate modifica, poate apărea un nou fișier executabil sau unul existent se poate schimba etc.
De regulă, programele de audit antivirus determină și stochează în fișiere speciale imagini ale înregistrării master de boot, sectoare de pornire ale discurilor logice, caracteristicile tuturor fișierelor controlate, directoare și număr de clustere de discuri defecte. Auditorul verifică periodic Starea curenta zonele de disc și Sistemul de fișiere, îl compară cu starea anterioară și raportează imediat orice modificări suspecte.
Principalul avantaj al metodei este capacitatea de a detecta viruși de toate tipurile, precum și noi viruși necunoscuți.
Această metodă are și dezavantaje. Folosind programe de audit, este imposibil să detectați un virus în fișierele care intră în sistem deja infectate. Virușii vor fi detectați numai după ce s-au înmulțit în sistem.
Analiza euristica, ca și metoda de detectare a modificărilor, vă permite să detectați viruși necunoscuți, dar nu necesită colectarea, procesarea și stocarea preliminară a informațiilor despre sistemul de fișiere.
Analiza euristică în programele antivirus se bazează pe semnături și un algoritm euristic, conceput pentru a îmbunătăți capacitatea programelor de scanare de a aplica semnături și de a recunoaște versiuni modificate viruși în cazurile în care codul program necunoscut nu se potrivește complet cu semnătura, dar în programul suspect mai mult semne generale virus sau modelul său comportamental. Când sunt detectate astfel de coduri, este afișat un mesaj despre o posibilă infecție. După ce primiți astfel de mesaje, trebuie să scanați cu atenție fișierele presupuse infectate și sectoarele de boot cu toate instrumentele antivirus disponibile.
Dezavantaj aceasta metoda este un numar mare de fals pozitive ale instrumentelor antivirus în cazurile în care un program legal conține fragmente de cod care efectuează acțiuni și/sau secvențe caracteristice unor viruși.
Metodă utilizarea gardienilor rezidenți se bazează pe utilizarea programelor care sunt în mod constant în memorie cu acces aleator dispozitiv (calculator) și monitorizează toate acțiunile efectuate de alte programe. Dacă vreun program efectuează acțiuni suspecte tipice virușilor (accesarea pentru a scrie în sectoarele de boot, plasarea modulelor rezidente în RAM, încercarea de a intercepta întreruperi etc.), paznicul rezident emite un mesaj utilizatorului.
Utilizarea programelor antivirus cu un gardian rezident reduce probabilitatea ca virușii să ruleze pe computer, dar trebuie luat în considerare faptul că utilizarea constantă a resurselor RAM pentru programe rezidente reduce cantitatea de memorie disponibilă pentru alte programe.
Astăzi, unul dintre cele mai fiabile mecanisme de protecție a sistemelor și rețelelor informaționale este software și hardware, de regulă, inclusiv nu numai sisteme antivirus, dar și furnizarea de servicii suplimentare. Acest subiect este discutat în detaliu în secțiunea „Hardware și software pentru asigurarea securității rețelelor de informații”.
Organizarea securitatii informatice si protectia informatiilor
Informația este una dintre cele mai valoroase resurse ale oricărei companii, astfel încât asigurarea securității informațiilor este una dintre sarcinile cele mai importante și prioritare.
Siguranță Sistem informatic- aceasta este o proprietate care constă în capacitatea unui sistem de a-și asigura funcționarea normală, adică de a asigura integritatea și secretul informațiilor. Pentru a asigura integritatea și confidențialitatea informațiilor, este necesar să se protejeze informațiile împotriva distrugerii accidentale sau a accesului neautorizat la acestea.
Integritatea înseamnă imposibilitatea distrugerii neautorizate sau accidentale, precum și modificarea informațiilor. Confidențialitatea informațiilor înseamnă imposibilitatea scurgerii și achiziționării neautorizate a informațiilor stocate, transmise sau primite.
Sunt cunoscute următoarele surse de amenințări la adresa securității sistemelor informaționale:
La rândul lor, sursele antropice de amenințări sunt împărțite în:
Există multe direcții posibile de scurgere de informații și modalități de acces neautorizat la acestea în sisteme și rețele:
Pentru asigurarea securității sistemelor informaționale se folosesc sisteme de securitate a informațiilor, care reprezintă un ansamblu de măsuri organizatorice și tehnologice, software și hardware, precum și norme legale care vizează contracararea surselor de amenințări la adresa securității informației.
Cu o abordare integrată, contramăsurile amenințărilor sunt integrate pentru a crea o arhitectură de securitate a sistemelor. Trebuie remarcat faptul că orice sistem de securitate a informațiilor nu este complet sigur. Întotdeauna trebuie să alegeți între nivelul de protecție și eficiența sistemelor informaționale.
Mijloacele de protecție a informațiilor IP de acțiunile subiecților includ:
Mijloace de protejare a informațiilor împotriva accesului neautorizat
Obținerea accesului la resursele sistemului informațional presupune efectuarea a trei proceduri: identificare, autentificare și autorizare.Identificare - atribuirea de nume și coduri unice (identificatori) utilizatorului (obiect sau subiect al resurselor).
Autentificare - stabilirea identității utilizatorului care a furnizat identificatorul sau verificarea faptului că persoana sau dispozitivul care furnizează identificatorul este de fapt cine pretinde că este. Cea mai comună metodă de autentificare este atribuirea unei parole utilizatorului și stocarea acesteia pe computer.
Autorizarea este o verificare a autorității sau verificarea dreptului unui utilizator de a accesa anumite resurse și de a efectua anumite operațiuni asupra acestora. Autorizarea se efectuează pentru a diferenția drepturile de acces la resursele de rețea și computer.
Protecția informațiilor în rețelele de calculatoare
Rețelele locale ale întreprinderilor sunt foarte des conectate la Internet. Pentru a proteja rețelele locale ale companiilor, de regulă, se folosesc firewall-uri. Un firewall este un mijloc de control al accesului care vă permite să împărțiți o rețea în două părți (granița se desfășoară între rețeaua locală și Internet) și să creați un set de reguli care determină condițiile de trecere a pachetelor dintr-o parte la alte. Ecranele pot fi implementate fie hardware, fie software.Protecția informațiilor criptografice
Pentru a asigura secretul informațiilor, se utilizează criptarea sau criptografia. Criptarea folosește un algoritm sau un dispozitiv care implementează un anumit algoritm. Criptarea este controlată folosind un cod de cheie care se schimbă.Informațiile criptate pot fi preluate numai folosind o cheie. Criptografia este o metodă foarte eficientă care mărește securitatea transmisiei de date în rețelele de calculatoare și la schimbul de informații între computere la distanță.
Semnătură electronică digitală
Pentru a exclude posibilitatea de a modifica mesajul original sau de a înlocui acest mesaj cu altele, este necesar să se transmită mesajul împreună cu semnatura electronica. O semnătură digitală electronică este o secvență de caractere obținută ca urmare a transformării criptografice a mesajului original folosind o cheie privată și permite determinarea integrității mesajului și a autorului acestuia folosind cheie publică.Cu alte cuvinte, un mesaj criptat folosind o cheie privată se numește semnătură digitală electronică. Expeditorul transmite mesajul necriptat în forma sa originală împreună cu o semnătură digitală. Destinatarul, folosind cheia publică, decriptează setul de caractere din mesaj semnatura digitalași le compară cu setul de caractere al mesajului necriptat.
Dacă caracterele se potrivesc complet, putem spune că mesajul primit nu a fost modificat și aparține autorului său.
Protejarea informațiilor împotriva virușilor informatici
Un virus de computer este un mic program rău intenționat care poate crea în mod independent copii ale lui însuși și le poate încorpora în programe (fișiere executabile), documente, sectoare de boot ale mediilor de stocare și răspândit prin canalele de comunicare.În funcție de mediu, principalele tipuri de viruși informatici sunt:
Media amovibile și sistemele de telecomunicații pot fi surse de infecție cu virus. Cele mai eficiente și populare programe antivirus includ: Kaspersky Anti-Virus 7.0, AVAST, Norton AntiVirus și multe altele.
Pentru a infecta un sistem cu un virus, este necesar să existe canale de comunicare cu alte computere. Mai mult, cu cât sunt mai multe și cu cât sunt mai puțin protejate, cu atât este mai mare probabilitatea de infectare. Astfel, arhitectura sistemului protectie antivirus depinde foarte mult de functia calculatorului in cauza, si anume de canalele de comunicare pe care le are cu lumea exterioara. Deoarece tocmai pentru aceste caracteristici a fost introdusă mai sus împărțirea rețelei în segmente, este convenabil să evidențiem și nivelurile corespunzătoare protectie antivirus:
- Nivel de protecție a serverului de e-mail
- Nivel de securitate Gateway
În această clasificare, programele care implementează nivelul de protecție al stațiilor de lucru și al serverelor de rețea și programele legate de nivelul de protecție al serverelor de mail 2 pot fi instalate simultan pe fiecare server de mail. Acest lucru se întâmplă deoarece serverul de e-mail, pe lângă îndeplinirea funcțiilor de procesare a corespondenței, este și un computer obișnuit în rețea. Acest lucru se aplică, de obicei, mai degrabă serverelor decât stațiilor de lucru, deoarece majoritatea programelor de e-mail bazate pe server necesită instalarea aceluiași sistem de operare pentru server. Situația este similară cu gateway-uri - software nivelul stațiilor de lucru și al serverelor de rețea și nivelul de protecție a gateway-ului.
Nivel de protecție pentru stațiile de lucru și serverele de rețea
Nivelul de protecție pentru stațiile de lucru și serverele de rețea este cel mai extins. Acesta acoperă toate computerele din rețeaua locală și servește cel mai mult ultima cetate pe calea pătrunderii malware-ului. Chiar dacă a existat o breșă undeva în sistemul de protecție antivirus și o mașină era încă infectată, programele antivirus instalate pe alte computere ar trebui să împiedice răspândirea epidemiei în continuare în rețea. La acest nivel, sistemele antivirus sunt folosite pentru a proteja stațiile de lucru și serverele de rețea.
Protecția stațiilor de lucru și a serverelor de rețea este responsabilă în primul rând pentru curățenia sistemului de fișiere al fiecărui computer din rețea. Prin urmare, ea este în obligatoriu trebuie să conțină scanare continuă ca mecanism de prevenire a infectării sistemului virușilor, scanare la cerere - o procedură pentru auditarea amănunțită a mașinii în cauză și neutralizarea programelor malware care au pătruns în el și un modul pentru menținerea semnăturilor virușilor în starea curenta. În plus, stațiile de lucru trebuie să aibă proceduri pentru verificarea mesajelor de e-mail.
Stațiile de lucru discutate aici diferă de computerele de acasă în primul rând în ceea ce privește protecția antivirus politica de securitate antivirus adoptat de organizația care deține rețeaua și obligatoriu pentru conformitate de către toți utilizatorii. Este o practică obișnuită să se creeze o poziție separată administrator de sistem, care este obligat să monitorizeze starea echipamentelor informatice. În același timp, alți utilizatori adesea nu au drepturi de acces la o serie de programe critice pentru funcționarea rețelei, chiar dacă sunt instalate pe computerul lor. Software, responsabil pentru securitatea antivirus, este unul dintre acestea.
Prezența a zeci, sute și uneori mii de computere conectate la o rețea locală necesită costuri considerabile pentru administrarea fiecăruia dintre ele. Pentru ca un grup relativ mic de administratori să poată face acest lucru, diverse programe speciale si utilitati pentru centralizat telecomandă. Cu ajutorul lor, administratorul poate administra și configura simultan programe de pe computer fără a se ridica de pe computer. calculatoare la distanțăși alte elemente de rețea subordonate acestuia.
În consecință, complexul antivirus pentru protejarea stațiilor de lucru și a serverelor de rețea necesită cerință suplimentară- prezența unui instrument software pentru gestionarea centralizată de la distanță a aplicațiilor locale.
Nivel de protecție a e-mailului
Protecția e-mailului este al doilea pas în protecția antivirus a rețelei. Acesta servește la reducerea încărcăturii și la creșterea fiabilității sistemului de protecție pentru stațiile de lucru și serverele de rețea. În plus, scanarea antivirus a e-mailului, și anume corespondența trimisă, în cazul unui singur incident de virus în cadrul rețelei, va servi ca o barieră în calea răspândirii acestui virus la alte computere externe. Acest nivel de sistem de protecție folosește un complex pentru a proteja sistemele de poștă.
ÎN caz general Un server de e-mail este un computer pe care este instalat și funcționează cu succes un program de procesare a corespondenței. Un server de e-mail aparține unui grup de servere, nu stațiilor de lucru. Acest lucru se explică prin faptul că scopul său principal este de a asigura funcționarea sistemului de e-mail, și nu de a rezolva problemele aplicațiilor locale. Astfel, serverul de mail este de fapt un depozit de informații (e-mailuri) pentru alți utilizatori ai rețelei.
Program de e-mail sau agent de redirecționare a mesajelor 3 În literatură, uneori este folosit termenul englez MTA - o abreviere a englezei. Agent de transfer de corespondență transferă e-mailuri de la un computer la altul. Acest lucru se întâmplă de obicei în următoarea secvență: computerul expeditorului, care se află în rețeaua internă, contactează programul de e-mail de pe server și îi trimite scrisoarea. Apoi, serverul de e-mail extrage adresa destinatarului din scrisoare și efectuează o redirecționare ulterioară - către Internet sau înapoi la rețeaua locală către un alt utilizator de pe aceasta. Redirecționarea inversă are loc într-un mod similar: o scrisoare ajunge la server din exterior, adresată unui utilizator care are o cutie poștală pe ea. După aceasta, utilizatorul este notificat prin agentul său de e-mail că are un nou mesaj în căsuța poștală. Dacă dorește să o primească, agentul de corespondență contactează serverul și copiază fișierele scrisorilor pe computerul utilizatorului. Astfel, pe server se formează o coadă de scrisori încă netrimise și încă neprimite, iar corespondența primită este, de asemenea, stocată total sau parțial.
Prin urmare, o scanare antivirus ar trebui să includă atât o scanare a tuturor celor care trec program de mail fluxuri și stocare de e-mail.
Prin urmare, un pachet antivirus pentru protecția e-mailului trebuie să conțină:
- Scanarea antivirus în timp real a corespondenței care trece prin sistemul de corespondență
- Scanarea antivirus în timp real a fișierelor solicitate de utilizatori din cutiile lor poștale
- Scanare antivirus la cerere pentru fișiere în format e-mail stocate pe server, și anume informații din cutiile poștale ale utilizatorilor
- Instrument pentru actualizarea bazelor de date antivirus
Nivel de securitate Gateway
În cele mai multe cazuri, protecția antivirus la nivel de gateway joacă un rol de sprijin în sistem comun securitatea rețelei antivirus. Acest lucru se întâmplă deoarece sarcina unui astfel de complex antivirus este doar să verifice informațiile venite din exterior pentru prezența programelor rău intenționate. Totuși, chiar dacă virusul pătrunde în gateway, nu va putea infecta niciun computer: va fi interceptat de antivirusul de pe mașina locală, iar în cazul unui mesaj de e-mail infectat, acesta va fi oprit pe serverul de mail. .
Cu toate acestea, un astfel de scenariu poate fi realizat numai dacă sistemul de protecție antivirus al rețelei funcționează corect și neîntrerupt, în special la nivelul de protecție a stațiilor de lucru și a serverelor de rețea. În practică, deseori apar eșecuri. Mai mult, cu cât rețeaua locală este mai mare, cu atât este mai mare probabilitatea ca un astfel de incident să se întâmple. Cu toate că sistem distribuit protecția stațiilor de lucru și a serverelor de rețea va împiedica în orice caz un astfel de virus să se răspândească în continuare în rețea și va fi localizat pe o mașină infectată, acest lucru încă nu este foarte bun, deoarece documente foarte importante pot fi stocate și pe el și în absența protecției gateway virusul poate, de exemplu, să efectueze distribuții neautorizate sau să permită unui atacator să fure informații confidențiale.
Prin urmare, protecția antivirus a gateway-ului poate crește semnificativ fiabilitatea protecției antivirus în ansamblu.
În plus, în cazul unei epidemii de virus pe Internet, sistemul de protecție a gateway-ului este cel care va reacționa și anunța mai întâi administratorul, ceea ce îi va permite să ia rapid măsuri pentru creșterea nivelului de protecție, de exemplu, să efectueze o intervenție urgentă. actualizarea de urgență a bazelor de date antivirus sau chiar deconectarea anumitor computere deosebit de importante sau secrete de la rețea.
Prin definiție, un gateway este un computer cu programul instalat, care implementează un mecanism de transmitere a datelor de la o rețea la alta. De obicei, aceasta înseamnă trecerea de la o rețea locală la Internet, iar toate computerele din rețea, cu rare excepții justificate, comunică cu Internetul doar printr-un gateway.
Funcționalitatea principală a gateway-ului este de a transmite cereri de la un segment la altul. De exemplu, dacă un utilizator intern trebuie să descarce informații de pe un site web extern, el trimite o solicitare corespunzătoare către gateway, care, pe baza acestor date, interogează serverul web la distanță, preia informațiile necesare de pe acesta și le transmite utilizatorului. . Gateway-ul poate funcționa și în direcția opusă - atunci când site-ul web se află în interiorul rețelei locale, iar solicitarea vine de la un utilizator extern. În cazul e-mailului corporativ, rolul utilizatorului este serverul de e-mail.
Similar cu protecția prin e-mail, nivelul de protecție gateway utilizează o suită antivirus pentru a proteja gateway-urile. Este responsabil doar de verificarea datelor care trec prin el, iar complexul de protejare a serverelor de rețea este responsabil pentru curățenia sistemului de fișiere. De aceea pachete software Pentru a proteja gateway-urile, acesta trebuie să conțină numai filtre pentru fluxurile care trec prin el. De obicei, acesta este HTTP 4 HTTP (din limba engleză Hypertext Transfer Protocol - hypertext transfer protocol) este un standard care definește un algoritm de transmitere a informațiilor în diverse formate. Acesta este cel mai utilizat protocol astăzi. FTP 5 FTP (File Transfer Protocol) definește un mecanism de transfer de fișiere în rețelele de calculatoare. FTP este unul dintre cele mai vechi protocoale, a fost propus în 1971, în timp ce HTTP a fost propus abia în 1990și SMTP 6 SMTP (Simple Mail Transfer Protocol) este un protocol de rețea conceput pentru transmiterea de mesaje electronice.
Plan:
Introducere………………………………………………………………………………………………..3
Scanere………………………………………………………………………6
Scanere CRC…………………………………………………………………..…..7
Blocante……………………………………………………..8
Imunizatoare………………………………………………………….…9
Conceptul de instrumente de protecție a informațiilor antivirus………………5
Clasificarea programelor antivirus………………….6
Principalele funcții ale celor mai comune antivirusuri…..10
Antivirus Dr. Web…………………………………………………………10
Kaspersky Anti-Virus…………………………………...10
Antivirus Antiviral Toolkit Pro………………………………………12
Norton AntiVirus 2000……………………………………………………13
Concluzie………………………………………………………………………………….15
Lista referințelor………………………………………………………...16
Introducere.
Mijloacele de securitate a informațiilor sunt un set de dispozitive și dispozitive inginerești, tehnice, electrice, electronice, optice și alte dispozitive, instrumente și sisteme tehnice, precum și alte elemente materiale utilizate pentru rezolvarea diferitelor probleme de protecție a informațiilor, inclusiv prevenirea scurgerilor și asigurarea securității informațiilor protejate.
În general, mijloacele de asigurare a securității informațiilor în ceea ce privește prevenirea acțiunilor intenționate, în funcție de modalitatea de implementare, pot fi împărțite în grupe:
Mijloace tehnice (hardware). Este vorba de dispozitive de diferite tipuri (mecanice, electromecanice, electronice etc.), care folosesc hardware pentru a rezolva problemele de securitate a informațiilor. Ele fie împiedică pătrunderea fizică, fie, dacă pătrunderea are loc, accesul la informație, inclusiv prin mascarea acesteia. Prima parte a problemei este rezolvată de încuietori, gratii la geamuri, paznici, alarme de securitate etc. A doua parte este rezolvată de generatoare de zgomot, dispozitive de protecție la supratensiune, radiouri de scanare și multe alte dispozitive care „blochează” potențiale canale de scurgere de informații sau le permite să fie detectate. Avantajele mijloacelor tehnice sunt asociate cu fiabilitatea lor, independența față de factorii subiectivi și rezistența ridicată la modificare. Părțile slabe- flexibilitate insuficientă, volum și greutate relativ mari, cost ridicat;
Instrumentele software includ programe pentru identificarea utilizatorilor, controlul accesului, criptarea informațiilor, eliminarea informațiilor reziduale (de lucru) precum fișierele temporare, controlul testului sistemului de securitate etc. Avantajele instrumentelor software sunt versatilitatea, flexibilitatea, fiabilitatea, ușurința instalării. , capacitatea de modificare și dezvoltare. Dezavantaje - funcționalitate limitată a rețelei, utilizarea unei părți din resursele serverului de fișiere și stațiilor de lucru, sensibilitate ridicată la modificări accidentale sau intenționate, posibilă dependență de tipurile de computere (hardware-ul acestora);
Hardware mixt software implementează aceleași funcții ca hardware și software separat și au proprietăți intermediare;
Mijloacele organizatorice constau în organizatorice și tehnice (pregătirea spațiilor cu calculatoare, montarea unui sistem de cabluri, luând în considerare cerințele de limitare a accesului la acesta etc.) și organizatorice și juridice (legislația națională și regulile de lucru, stabilit de conducerea unei anumite întreprinderi). Avantajele instrumentelor organizaționale sunt că vă permit să rezolvați multe probleme diferite, sunt ușor de implementat, răspund rapid la acțiunile nedorite din rețea și au posibilități nelimitate de modificare și dezvoltare. Dezavantaje - dependență mare de factori subiectivi, inclusiv organizarea generală a muncii într-un anumit departament.
În munca mea voi lua în considerare unul dintre instrumentele software pentru protecția informațiilor - programele antivirus. Deci, scopul muncii mele este de a analiza instrumentele de securitate a informațiilor antivirus. Atingerea scopului stabilit este mediată de rezolvarea următoarelor sarcini:
Studierea conceptului de instrumente de protecție a informațiilor antivirus;
Luarea în considerare a clasificării instrumentelor de securitate a informațiilor antivirus;
Familiarizarea cu funcțiile de bază ale celor mai populare antivirusuri.
Conceptul de instrumente de protecție a informațiilor antivirus.
Program antivirus (antivirus) - un program pentru detectarea virușilor de computer, precum și a programelor nedorite (considerate rău intenționate) în general și pentru restaurarea fișierelor infectate (modificate) de astfel de programe, precum și pentru prevenirea - prevenirea infecției (modificarea) a fișiere sau sistemul de operare cu cod rău intenționat (de exemplu, prin vaccinare).
Software-ul antivirus constă din rutine care încearcă să detecteze, să prevină și să elimine virușii de computer și alte programe rău intenționate.
Clasificarea programelor antivirus.
Programele antivirus sunt cele mai eficiente în lupta împotriva virușilor informatici. Cu toate acestea, aș dori să observ imediat că nu există antivirusuri care să garanteze o protecție sută la sută împotriva virușilor, iar afirmațiile despre existența unor astfel de sisteme pot fi considerate fie publicitate falsă, fie neprofesionalism. Astfel de sisteme nu există, deoarece pentru orice algoritm antivirus este întotdeauna posibil să se propună un contra-algoritm pentru un virus care este invizibil pentru acest antivirus (din fericire, reversul este și adevărat: pentru orice algoritm de virus este întotdeauna posibil să se creeze un antivirus).
Cele mai populare și eficiente programe antivirus sunt scanerele antivirus (alte denumiri: phage, polyphage, program doctor). Urmează-le în ceea ce privește eficiența și popularitatea sunt scanerele CRC (de asemenea: auditor, checksumer, integrity checker). Adesea, ambele metode sunt combinate într-un singur program antivirus universal, ceea ce îi crește semnificativ puterea. De asemenea, sunt utilizate diferite tipuri de blocanți și imunizatori.
2.1 Scanere.
Principiul de funcționare al scanerelor antivirus se bazează pe verificarea fișierelor, sectoarelor și memoriei de sistem și căutarea acestora pentru viruși cunoscuți și noi (necunoscuți de scaner). Pentru a căuta viruși cunoscuți, sunt folosite așa-numitele „măști”. Masca unui virus este o secvență constantă de cod specifică acestui virus anume. Dacă virusul nu conține o mască permanentă sau lungimea acestei măști nu este suficient de lungă, atunci se folosesc alte metode. Un exemplu de astfel de metodă este un limbaj algoritmic care descrie toate opțiunile posibile de cod care pot apărea atunci când sunt infectate cu un tip similar de virus. Această abordare este folosită de unii antivirusuri pentru a detecta viruși polimorfi. Scanerele pot fi, de asemenea, împărțite în două categorii - „universale” și „specializate”. Scanerele universale sunt concepute pentru a căuta și neutraliza toate tipurile de viruși, indiferent de sistemul de operare în care este proiectat să funcționeze scanerul. Scanerele specializate sunt concepute pentru a neutraliza un număr limitat de viruși sau o singură clasă de viruși, de exemplu macrovirusuri. Scanerele specializate concepute numai pentru macrovirusuri se dovedesc adesea a fi cea mai convenabilă și fiabilă soluție pentru protejarea sistemelor de gestionare a documentelor în MS Word și MS Excel.
Scanerele sunt, de asemenea, împărțite în „rezident” (monitoare, paznici), care efectuează scanare din mers și „nerezident”, care scanează sistemul doar la cerere. De regulă, scanerele „rezidente” oferă o protecție mai fiabilă a sistemului, deoarece răspund imediat la apariția unui virus, în timp ce un scaner „nerezident” este capabil să identifice virusul doar la următoarea lansare. Pe de altă parte, un scaner rezident poate încetini oarecum computerul, inclusiv din cauza unor posibile fals pozitive.
Avantajele scanerelor de toate tipurile includ versatilitatea lor; dezavantajele sunt viteza relativ scăzută a scanării virușilor. Cele mai comune programe din Rusia sunt: AVP - Kaspersky, Dr.Weber - Danilov, Norton Antivirus de la Semantic.
2.2 CRC-scanere.
Principiul de funcționare al scanerelor CRC se bazează pe calcularea sumelor CRC (sume de control) pentru fișierele/sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date antivirus, precum și alte informații: lungimea fișierelor, datele ultimei modificări etc. Atunci când sunt lansate ulterior, scanerele CRC compară datele conținute în baza de date cu valorile reale calculate. Dacă informațiile despre fișiere înregistrate în baza de date nu se potrivesc cu valorile reale, atunci scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus. Scanerele CRC care folosesc algoritmi anti-stealth sunt o armă destul de puternică împotriva virușilor: aproape 100% dintre viruși sunt detectați aproape imediat după ce apar pe computer. Cu toate acestea, acest tip de antivirus are un defect inerent care le reduce semnificativ eficacitatea. Acest dezavantaj este că scanerele CRC nu sunt capabile să prindă un virus în momentul în care acesta apare în sistem, dar face acest lucru doar ceva timp mai târziu, după ce virusul s-a răspândit în computer. Scanerele CRC nu pot detecta un virus în fișiere noi (în e-mail, pe dischete, în fișiere restaurate dintr-o copie de rezervă sau la despachetarea fișierelor dintr-o arhivă), deoarece bazele lor de date nu conțin informații despre aceste fișiere. Mai mult, apar periodic viruși care profită de această „slăbiciune” a scanerelor CRC, infectând doar fișierele nou create și rămânând astfel invizibile pentru acestea. Cele mai utilizate programe de acest gen în Rusia sunt ADINF și AVP Inspector.
2.3 Blocante.
Blocanții antivirus sunt programe rezidente care interceptează situații „periculoase pentru virus” și informează utilizatorul despre acestea. „Periculoase pentru viruși” includ apeluri de deschidere pentru scriere în fișiere executabile, scriere în sectoare de pornire ale discurilor sau MBR-ul unui hard disk, încercări ale programelor de a rămâne rezidente etc., adică apeluri tipice pentru viruși la momentul reproducerii. Uneori, unele funcții de blocare sunt implementate în scanerele rezidente.
Avantajele blocantelor includ capacitatea lor de a detecta și opri virusul la maximum stadiu timpuriu reproducerea sa, care, apropo, poate fi foarte utilă în cazurile în care un virus cunoscut de mult timp „se strecoară din neant”. Dezavantajele includ existența unor modalități de a ocoli protecția blocantelor și un număr mare de false pozitive, care, aparent, a fost motivul refuzului aproape complet al utilizatorilor acestui tip de programe antivirus (de exemplu, nici măcar un singur Blocker pentru Windows95/NT este cunoscut - nu există cerere, nici ofertă).
De asemenea, este necesar să se remarce o astfel de direcție a instrumentelor antivirus, cum ar fi blocantele antivirus, realizate sub formă de componente hardware de computer („hardware”). Cea mai comună este protecția la scriere încorporată în BIOS în MBR-ul hard diskului. Cu toate acestea, ca și în cazul blocatorilor de software, o astfel de protecție poate fi ocolită cu ușurință prin scrierea directă pe porturile controlerului de disc, iar lansarea utilitarului DOS FDISK provoacă imediat un „fals pozitiv” al protecției.
Există mai multe blocante hardware mai universale, dar pe lângă dezavantajele enumerate mai sus, există și probleme de compatibilitate cu configurațiile standard ale computerelor și de complexitate în instalarea și configurarea acestora. Toate acestea fac blocantele hardware extrem de nepopulare în comparație cu alte tipuri de protecție antivirus.
2.4 Imunizatoare.
Imunizatoarele sunt programe care scriu coduri în alte programe care raportează infecția. De obicei, ei scriu aceste coduri la sfârșitul fișierelor (similar cu un virus de fișiere) și verifică fișierul pentru modificări de fiecare dată când îl rulează. Au un singur dezavantaj, dar este letal: incapacitatea absolută de a raporta infecția cu un virus stealth. Prin urmare, astfel de imunizatori, cum ar fi blocanții, practic nu sunt utilizați în prezent. În plus, multe programe dezvoltate în În ultima vreme, se verifică pentru integritate și pot confunda codurile încorporate în ele cu viruși și pot refuza să funcționeze.
Funcțiile de bază ale celor mai comune antivirusuri.
Antivirus Dr. Web.
Dr. Web-ul este un antivirus vechi și meritat popular în Rusia, care îi ajută pe utilizatori să lupte împotriva virușilor de câțiva ani. Noile versiuni ale programului (DrWeb32) funcționează pe mai multe sisteme de operare, protejând utilizatorii de peste 17.000 de viruși.
Setul de funcții este destul de standard pentru un antivirus - scanarea fișierelor (inclusiv cele comprimate cu programe speciale și arhivate), memorie, sectoare de boot ale hard disk-urilor și dischete. Programele troiene, de regulă, nu pot fi vindecate, ci trebuie eliminate. Din păcate, formatele de e-mail nu sunt verificate, așa că imediat după primire e-mail nu există nicio modalitate de a ști dacă un atașament conține un virus. Atașamentul va trebui să fie salvat pe disc și verificat separat. Cu toate acestea, monitorul rezident „Spider Guard” furnizat împreună cu programul vă permite să rezolvați această problemă din mers.
Dr. Web este unul dintre primele programe care implementează analiza euristică, care vă permite să detectați viruși care nu sunt incluși în baza de date antivirus. Analizorul detectează instrucțiuni de tip virus într-un program și marchează un astfel de program ca suspect. Baza de date anti-virus este actualizată prin Internet cu un singur clic pe buton. Versiunea gratuită a programului nu efectuează analize euristice și nu dezinfectează fișierele.
Kaspersky Anti-Virus.
Inspector monitorizează toate modificările din computer și, dacă sunt detectate modificări neautorizate în fișiere sau în registrul de sistem, vă permite să restaurați conținutul discului și să eliminați codurile rău intenționate. Inspector nu necesită actualizări ale bazei de date antivirus: controlul integrității se realizează pe baza prelevarii amprentelor fișierelor originale (sume CRC) și compararea lor ulterioară cu fișierele modificate. Spre deosebire de alți inspectori, Inspector acceptă toate cele mai populare formate de fișiere executabile.
Analizorul euristic face posibilă protejarea computerului chiar și împotriva virușilor necunoscuți.
Interceptor de viruși de fundal Monitor, care este prezent în mod constant în memoria computerului, efectuează o scanare antivirus a tuturor fișierelor imediat în momentul în care sunt lansate, create sau copiate, ceea ce vă permite să controlați toate operațiunile cu fișiere și să preveniți infectarea chiar și de către cei mai avansati virusi din punct de vedere tehnologic.
Filtrarea antivirus pentru e-mail împiedică virușii să intre în computer. Plug-in-ul Mail Checker nu numai că elimină virușii din corpul unui e-mail, ci și restabilește complet conținutul original al e-mail-urilor. O scanare cuprinzătoare a corespondenței prin e-mail nu permite unui virus să se ascundă în niciun element al unui e-mail prin scanarea tuturor zonelor mesajelor primite și trimise, inclusiv fișierele atașate (inclusiv cele arhivate și ambalate) și alte mesaje de orice nivel de imbricare.
Scanerul antivirus Scanner face posibilă efectuarea unei scanări la scară completă a întregului conținut al unităților locale și din rețea, la cerere.
Script Checker Script Virus Interceptor oferă scanarea antivirus a tuturor scripturilor care rulează înainte ca acestea să fie executate.
Suportul pentru fișierele arhivate și comprimate oferă posibilitatea de a elimina codul rău intenționat dintr-un fișier comprimat infectat.
Izolarea obiectelor infectate asigură izolarea obiectelor infectate și suspecte și mutarea lor ulterioară într-un director special organizat pentru analiză și recuperare ulterioară.
Automatizarea protecției antivirus vă permite să creați un program și o ordine de funcționare a componentelor programului; descărcați și conectați automat noi actualizări de baze de date antivirus prin Internet; trimiteți avertismente despre atacurile de viruși detectate prin e-mail etc.
Antivirus Antiviral Toolkit Pro.
Antiviral Toolkit Pro este un produs rusesc care a câștigat popularitate în străinătate și în Rusia datorită capabilităților sale extinse și a fiabilității ridicate. Există versiuni ale programului pentru cele mai populare sisteme de operare; baza de date antivirus conține aproximativ 34.000 de viruși.
Există mai multe opțiuni de livrare - AVP Lite, AVP Gold, AVP Platinum. Cea mai completă versiune vine cu trei produse - un scanner, un monitor rezident și un centru de control. Scanerul vă permite să verificați fișierele și memoria pentru viruși și troieni. Aceasta scanează programele ambalate, arhivele, bazele de date de e-mail (dosare Outlook etc.) și efectuează analize euristice pentru a căuta noi viruși care nu sunt incluși în baza de date. Monitorul „din zbor” verifică fiecare fișier deschis pentru viruși și avertizează despre pericolul virușilor, blocând simultan accesul la fișierul infectat. Centrul de control vă permite să programați scanări antivirus și să actualizați bazele de date prin Internet. ÎN versiunea demo Nu există posibilitatea de a dezinfecta obiectele infectate, de a verifica fișierele împachetate și arhivate sau de analiză euristică.
Norton AntiVirus 2000.
Norton AntiVirus se bazează pe un alt produs popular - firewall personal AtGuard (@guard) de la WRQ Soft. Ca rezultat al aplicării puterii tehnologice a Symantec, rezultatul este un produs integrat cu funcționalități semnificativ extinse. Miezul sistemului este încă firewall-ul. Funcționează foarte eficient fără configurare, practic fără a interfera cu utilizarea de zi cu zi a rețelei, dar blocând încercările de a reporni sau îngheța computerul, de a obține acces la fișiere și imprimante sau de a stabili comunicarea cu programe troiene de pe computer.
Norton AntiVirus este singurul firewall revizuit care implementează 100% capabilitățile acestei metode de protecție. Toate tipurile de pachete care călătoresc prin rețea sunt filtrate, inclusiv. service (ICMP), regulile de funcționare a paravanului de protecție pot lua în considerare ce aplicație funcționează cu rețeaua, ce fel de date sunt transferate și pe ce computer, la ce oră din zi se întâmplă acest lucru.
Pentru a păstra datele confidențiale, un firewall poate bloca trimiterea adreselor de e-mail, a tipurilor de browser și a cookie-urilor către serverele web. Filtrul de informații confidențiale avertizează despre o încercare de a trimite informații necriptate în rețea pe care utilizatorul a introdus-o și a marcat-o ca confidențială.
Conținutul activ de pe paginile web (applet-uri Java, scripturi etc.) poate fi blocat și folosind Norton AntiVirus - filtrul de conținut poate tăia elemente nesigure din textul paginilor web înainte ca acestea să ajungă în browser.
Ca un serviciu suplimentar care nu are legătură directă cu problemele de securitate, Norton AntiVirus oferă un filtru foarte convenabil bannere publicitare(acele imagini enervante sunt pur și simplu tăiate din pagină, ceea ce accelerează încărcarea acesteia), precum și un sistem de control parental. Prin interzicerea vizitei anumitor categorii de site-uri și lansare specii individuale Aplicații de internet, puteți fi destul de calm cu privire la conținutul rețelei care este accesibil copiilor.
Pe lângă capacitățile firewall, Norton AntiVirus oferă utilizatorului protecția programului Norton Antivirus. Această aplicație antivirus populară, cu baze de date antivirus actualizate în mod regulat, vă permite să detectați în mod destul de fiabil virușii în primele etape ale apariției lor. Toate fișierele descărcate din rețea, fișierele atașate la e-mail și elementele active ale paginilor web sunt scanate pentru viruși. În plus, Norton Antivirus are un scanner și un monitor antivirus care oferă protecție la nivelul întregului sistem împotriva virușilor, fără a fi legat de accesul la rețea.
Concluzie:
Făcând cunoștință cu literatura de specialitate, mi-am atins scopul și am tras următoarele concluzii:
Protecţie informațieși securitatea informațiilor (2)
Rezumat >> Informatică... protecţie informație(legal protecţie informație, tehnic protecţie informație, protecţie economic informație etc.). Metode organizatorice protecţie informațieȘi protecţie informațieîn Rusia au următoarele proprietăţi: Metode şi facilităţi protecţie informație ...
Programul antivirus (antivirus) este un program pentru detectarea virușilor informatici, precum și a programelor nedorite (considerate rău intenționate) în general și pentru restaurarea fișierelor infectate (modificate) de astfel de programe, precum și pentru prevenirea - prevenirea infecției (modificării) fișierelor sau sistemul de operare cu cod rău intenționat (de exemplu, prin vaccinare);
nu există antivirusuri care să garanteze protecție 100% împotriva virușilor;
Cele mai populare și eficiente programe antivirus sunt scanerele antivirus (alte denumiri: phage, polyphage, program doctor). Urmează-le în ceea ce privește eficiența și popularitatea sunt scanerele CRC (de asemenea: auditor, checksumer, integrity checker). Adesea, ambele metode sunt combinate într-un singur program antivirus universal, ceea ce îi crește semnificativ puterea. De asemenea, sunt utilizate diferite tipuri de blocanți și imunizatori.
...
