En av förutsättningarna för ett säkert arbete i informationssystemet är användarens efterlevnad av ett antal regler som har prövats i praktiken och visat sin höga effektivitet. Det finns flera av dem:
- Användning av mjukvaruprodukter som erhållits på lagligt officiellt sätt. Sannolikheten för ett virus i en piratkopierad kopia är många gånger högre än i officiellt erhållen programvara.
- Duplicering av information. Först och främst är det nödvändigt att spara distributionsmediet för programvaran. I det här fallet bör skrivning till media som tillåter denna operation blockeras, om möjligt. Särskild försiktighet bör iakttas för att bevara arbetsinformation. Det är att föredra att regelbundet skapa kopior av arbetsfiler på flyttbara maskinlagringsmedia med skrivskydd. Antingen kopieras hela filen, eller bara de ändringar du gör. Det senare alternativet är tillämpligt, till exempel när du arbetar med databaser.
- Regelbundna uppdateringar av systemprogramvara. Operativsystemet måste uppdateras regelbundet och alla säkerhetskorrigeringar från Microsoft och andra leverantörer måste installeras för att åtgärda befintliga mjukvaruproblem.
- Begränsa användaråtkomst till operativsysteminställningar och systemdata. För att säkerställa en stabil drift av systemet krävs det ofta att användarens kapacitet begränsas, vilket kan göras antingen med de inbyggda Windows-verktygen eller med hjälp av specialiserade program utformade för att kontrollera åtkomsten till datorn.
I företagsnätverk är det möjligt att tillämpa grupppolicyer i Windows-domännätverket.
- För den mest effektiva användningen av nätverksresurser är det nödvändigt att införa begränsningar för behöriga användares åtkomst till interna och externa nätverksresurser och blockera åtkomsten för obehöriga användare.
- Regelbunden användning av antivirusverktyg. Innan arbetet påbörjas är det lämpligt att köra skannrar och revisionsprogram. Antivirusdatabaserna måste uppdateras regelbundet. Dessutom är det nödvändigt att utföra antiviruskontroll av nätverkstrafik.
- Skydd mot nätverksintrång tillhandahålls genom användning av mjukvara och hårdvara, inklusive: användning av brandväggar, intrångsdetektering / förebyggande system IDS / IPS (Intrusion Detection / Prevention System), implementering av VPN-tekniker (Virtual Private Network).
- Tillämpning av medel för autentisering och kryptografi - användning av lösenord (enkla / komplexa / icke-repeterbara) och krypteringsmetoder. Det rekommenderas inte att använda samma lösenord på olika resurser och avslöja information om lösenord. När du skriver ett lösenord på webbplatser bör du vara särskilt försiktig så att ditt lösenord inte anges på en bedräglig tvillingsajt.
- Särskild försiktighet bör iakttas när du använder nya (okända) flyttbara media och nya filer. Nya flyttbara media måste kontrolleras för start- och filvirus, och de mottagna filerna måste kontrolleras för filvirus. När du arbetar i distribuerade system eller i delade system är det tillrådligt att kontrollera nya flyttbara media och filer som matas in i systemet på datorer som är speciellt avsedda för detta ändamål som inte är anslutna till det lokala nätverket. Först efter en omfattande antivirusgenomsökning av diskar och filer kan de överföras till systemanvändare.
- När du arbetar med mottagna dokument och tabeller (till exempel via e-post), är det tillrådligt att förbjuda exekvering av makron med hjälp av inbyggda text- och kalkylarksredigerare (MS Word, MS Excel) tills den fullständiga skanningen av dessa filer är klart.
- Om du inte har för avsikt att skriva information till externa media måste du blockera utförandet av denna operation, till exempel genom att programmera inaktivera USB-portarna.
- När du arbetar med delade resurser i öppna nätverk (till exempel Internet), använd endast betrodda nätverksresurser som inte innehåller skadligt innehåll. Lita inte på all information som kommer till din dator - e-postmeddelanden, länkar till webbplatser, meddelanden till Internet-personsökare. Det är starkt avrådande att öppna filer och länkar som kommer från en okänd källa.
Att ständigt följa dessa rekommendationer kan avsevärt minska sannolikheten för infektion med programvirus och skydda användaren från oåterkallelig förlust av information. Men även med en noggrann implementering av alla förebyggande regler kan möjligheten att infektera en dator med datavirus inte helt uteslutas, därför måste metoder och medel för att motverka skadlig kod ständigt förbättras och underhållas.
Antivirusinformationsskydd
Den massiva distributionen av skadlig programvara, hur allvarliga konsekvenserna är av dess inverkan på informationssystem och nätverk har gjort det nödvändigt att utveckla och använda speciella antivirusverktyg och metoder för deras tillämpning.
Det bör noteras att det inte finns några antivirusverktyg som garanterar upptäckten av alla möjliga virusprogram.
Antivirusverktyg används för att lösa följande uppgifter:
- upptäckt av skadlig programvara i informationssystem;
- blockera arbetet med skadlig programvara;
- eliminering av konsekvenserna av exponering för skadlig programvara.
Det är tillrådligt att upptäcka skadlig programvara i det skede då den introduceras i systemet, eller åtminstone innan den börjar utföra destruktiva åtgärder. Om sådan programvara eller dess aktivitet upptäcks är det nödvändigt att omedelbart stoppa driften av virusprogrammet för att minimera skadorna från dess påverkan på systemet.
Eliminering av konsekvenserna av exponering för virus utförs i två riktningar:
- avlägsnande av virus;
- återställning (om nödvändigt) av filer, minnesområden.
Proceduren för att ta bort upptäckt skadlig kod från ett infekterat system måste utföras mycket noggrant. Virus och trojaner vidtar ofta speciella åtgärder för att dölja det faktum att de finns i systemet, eller så är de inbäddade i det så djupt att uppgiften att förstöra det blir ganska otrivial.
Systemåterställning beror på typen av virus, såväl som på tidpunkten för dess upptäckt i förhållande till början av destruktiva åtgärder. I händelse av att ett virusprogram redan körs i systemet och dess aktivitet innebär att data ändras eller raderas, kan det vara omöjligt att återställa information (särskilt om den inte dupliceras) en viss sekvens och kombination, vilket bildar metoder för skydd mot skadlig kod.
Följande metoder för att upptäcka virus är kända, som aktivt används av moderna antivirusverktyg:
- läser in;
- upptäckt av förändringar;
- heuristisk analys;
- användningen av bosatta väktare;
- användning av mjukvara och hårdvara skydd mot virus.
Läser in- en av de enklaste metoderna för att upptäcka virus, utförd av ett skannerprogram som skannar filer på jakt efter en identifierande del av viruset - signaturer... En signatur förstås som en unik sekvens av bytes som tillhör ett specifikt virus och som inte finns i andra program.
Programmet upptäcker förekomsten av redan kända virus för vilka en signatur har definierats. För att antivirusprogram som använder skanningsmetoden ska vara effektiva är det nödvändigt att regelbundet uppdatera information om nya virus.
Metod förändringsdetektering baserat på användningen av revisionsprogram som övervakar förändringar i filer och disksektorer på datorn. Alla virus på något sätt förändrar datasystemet på disken. Till exempel kan startsektorn ändras, en ny körbar fil kan visas eller en befintlig kan ändras, etc.
Som regel bestämmer och lagrar antivirusprogramgranskare i speciella filer bilder av huvudstartposten, startsektorer för logiska diskar, egenskaper hos alla övervakade filer, kataloger och antal defekta diskkluster. Revisorn kontrollerar med jämna mellanrum det aktuella tillståndet för diskområdena och filsystemet, jämför det med det tidigare tillståndet och rapporterar omedelbart alla misstänkta ändringar.
Den största fördelen med metoden är möjligheten att upptäcka virus av alla slag, såväl som nya okända virus.
Denna metod har också nackdelar. Det är omöjligt att upptäcka ett virus i filer som kommer in i systemet redan infekterade med hjälp av revisionsprogram. Virus kommer att upptäckas först efter multiplicering i systemet.
Heuristisk analys, liksom förändringsdetekteringsmetoden, låter dig identifiera okända virus, men kräver inte preliminär insamling, bearbetning och lagring av information om filsystemet.
Heuristisk analys i antivirusprogram är baserad på signaturer och en heuristisk algoritm, utformad för att förbättra möjligheten för skannrar att applicera signaturer och känna igen modifierade versioner av virus i de fall där koden för ett okänt program inte helt matchar signaturen, utan mer allmänna tecken av ett virus tydligt uttrycks i ett misstänkt program, eller hans beteendemodell. Om sådana koder hittas visas ett meddelande om möjlig infektion. Efter att ha mottagit sådana meddelanden bör du noggrant kontrollera de påstått infekterade filerna och startsektorerna med alla tillgängliga antivirusverktyg.
Nackdelen med denna metod är ett stort antal falska positiva från antivirusverktyg i de fall där ett lagligt program innehåller fragment av kod som utför åtgärder och/eller sekvenser som är typiska för vissa virus.
Metod använda invånare väktare baserat på användningen av program som ständigt finns i RAM-minnet på enheten (datorn) och övervakar alla åtgärder som utförs av andra program. Om ett program utför misstänkta åtgärder som är typiska för virus (åtkomst till startsektorer för att skriva, placera inbyggda moduler i RAM, försök att avbryta avbrott, etc.), skickar den boende vakthunden ett meddelande till användaren.
Användningen av antivirusprogram med en resident watchdog minskar sannolikheten för att virus körs på datorn, men man bör komma ihåg att den ständiga användningen av RAM-resurser för inhemska program minskar mängden tillgängligt minne för andra program.
Idag är en av de mest pålitliga mekanismerna för att skydda informationssystem och nätverk mjukvara och hårdvara, som regel inkluderar inte bara antivirussystem, utan tillhandahåller också ytterligare tjänster. Detta ämne diskuteras i detalj i avsnittet "Programvara och hårdvara för att säkerställa säkerheten för informationsnätverk".
Organisation av datorsäkerhet och informationsskydd
Information är en av de mest värdefulla resurserna för alla företag, därför är att säkerställa skyddet av information en av de viktigaste och prioriterade uppgifterna.
Ett informationssystems säkerhet är en egenskap som består i ett systems förmåga att säkerställa dess normala funktion, det vill säga att säkerställa informationens integritet och sekretess. För att säkerställa informationens integritet och konfidentialitet är det nödvändigt att skydda information från oavsiktlig förstörelse eller obehörig åtkomst till den.
Integritet betyder omöjligheten av otillåten eller oavsiktlig förstörelse, såväl som modifiering av information. Under informationens konfidentialitet - omöjligheten av läckage och obehörig beslag av lagrad, överförd eller mottagen information.
Följande källor till hot mot informationssystemens säkerhet är kända:
I sin tur är antropogena källor till hot uppdelade:
Det finns många möjliga riktningar för informationsläckage och sätt för obehörig åtkomst till det i system och nätverk:
För att säkerställa informationssystemens säkerhet används informationsskyddssystem, som är en uppsättning organisatoriska och tekniska åtgärder, mjukvaru- och hårdvaruverktyg och rättsliga normer som syftar till att motverka källor till hot mot informationssäkerheten.
Ett integrerat tillvägagångssätt integrerar tekniker för att minska hot för att skapa en systemsäkerhetsarkitektur. Det bör noteras att något informationsskyddssystem inte är helt säkert. Du måste alltid välja mellan skyddsnivå och effektivitet i informationssystem.
Medlen för att skydda IP-information från försökspersoners handlingar inkluderar:
Medel för att skydda information från obehörig åtkomst
Att få tillgång till informationssystemets resurser innebär implementering av tre procedurer: identifiering, autentisering och auktorisering.Identifiering är tilldelningen av unika namn och koder (identifierare) till en användare (objekt eller ämne för resurser).
Autentisering - fastställa identiteten för användaren som skickade identifieraren eller verifiera att personen eller enheten som tillhandahållit identifieraren verkligen är den den utger sig för att vara. Den vanligaste metoden för autentisering är att tilldela användaren ett lösenord och lagra det på datorn.
Auktorisering - kontroll av auktoritet eller kontroll av användarens rätt att komma åt specifika resurser och utföra vissa operationer på dem. Auktorisering utförs för att skilja åtkomsträttigheter till nätverks- och datorresurser.
Informationsskydd i datornätverk
Lokala nätverk av företag är mycket ofta anslutna till Internet. För att skydda lokala företagsnätverk används som regel brandväggar. En skärm (brandvägg) är ett åtkomstkontrollverktyg som låter dig dela upp nätverket i två delar (gränsen går mellan det lokala nätverket och Internet) och bilda en uppsättning regler som bestämmer villkoren för passage av paket från en del till en annan. Skärmar kan implementeras både i hårdvara och mjukvara.Kryptografiskt informationsskydd
För att säkerställa informationshemligheten används dess kryptering eller kryptografi. För kryptering används en algoritm eller enhet som implementerar en specifik algoritm. Krypteringen styrs med hjälp av en variabel nyckelkod.Den krypterade informationen kan endast hämtas med en nyckel. Kryptografi är en mycket effektiv teknik som ökar säkerheten för dataöverföring i datornätverk och vid utbyte av information mellan fjärrdatorer.
Elektronisk digital signatur
För att utesluta möjligheten att ändra det ursprungliga meddelandet eller ersätta detta meddelande med ett annat, är det nödvändigt att överföra meddelandet tillsammans med en elektronisk signatur. En elektronisk digital signatur är en sekvens av tecken som erhålls som ett resultat av den kryptografiska omvandlingen av det ursprungliga meddelandet med hjälp av en privat nyckel och låter dig bestämma meddelandets integritet och dess identitet med författaren med hjälp av den offentliga nyckeln.Med andra ord kallas ett meddelande krypterat med en privat nyckel en elektronisk digital signatur. Avsändaren sänder det okrypterade meddelandet i sin ursprungliga form tillsammans med en digital signatur. Mottagaren använder den publika nyckeln för att dekryptera meddelandets teckenuppsättning från den digitala signaturen och jämför den med det okrypterade meddelandets teckenuppsättning.
Om tecknen matchar helt kan det hävdas att det mottagna meddelandet inte är modifierat och tillhör dess författare.
Informationsskydd mot datavirus
Ett datavirus är ett litet skadligt program som självständigt kan skapa kopior av sig själv och injicera dem i program (körbara filer), dokument, startsektorer av lagringsmedia och spridas via kommunikationskanaler.Beroende på livsmiljön är huvudtyperna av datavirus:
Flyttbara media och telekommunikationssystem kan vara källor till virusinfektion. De mest effektiva och populära antivirusprogrammen inkluderar: Kaspersky Anti-Virus 7.0, AVAST, Norton AntiVirus och många andra.
För att infektera systemet med ett virus är det nödvändigt att ha kommunikationskanaler med andra datorer. Dessutom, ju fler av dem och ju mindre skyddade de är, desto högre är sannolikheten för infektion. Arkitekturen för antivirusskyddssystemet beror alltså starkt på funktionen hos den aktuella datorn, nämligen på de kommunikationskanaler den har med omvärlden. Eftersom det var just för dessa egenskaper som uppdelningen av nätverket i segment introducerades ovan, är det bekvämt att lyfta fram motsvarande nivåer av antivirusskydd:
- Skyddsnivå för e-postserver
- Säkerhetsnivå för gateways
I denna klassificering kan varje e-postserver installeras samtidigt program som implementerar skyddsnivån för arbetsstationer och nätverksservrar och program relaterade till skyddsnivån för e-postservrar 2 Detta beror på att e-postservern, förutom att utföra funktionerna att bearbeta e-post, också är en vanlig dator i nätverket. Det hänvisar vanligtvis till servrar, inte arbetsstationer, eftersom de flesta serverutskick kräver att ett serveroperativsystem är installerat. Situationen är liknande med gateways - programvara nivån på arbetsstationer och nätverksservrar och nivån på skyddet av gateways.
Skyddsnivå för arbetsstationer och nätverksservrar
Skyddsnivån för arbetsstationer och nätverksservrar är den mest omfattande. Den täcker alla datorer i det lokala nätverket och fungerar som det allra sista fästet på vägen mot skadlig programvara. Även om det någonstans i antivirusskyddssystemet fanns en punktering och en maskin trots allt visade sig vara infekterad, bör antivirusprogrammen som är installerade på de andra datorerna förhindra vidare spridning av epidemin över nätverket. På denna nivå används antiviruskomplex för att skydda arbetsstationer och nätverksservrar.
Skydd av arbetsstationer och nätverksservrar är primärt ansvarigt för städningen av filsystemet på var och en av datorerna i nätverket. Följaktligen måste den nödvändigtvis innehålla en konstant genomsökning som en mekanism för att förhindra infektion av systemet med virus, en genomsökning på begäran - en procedur för att grundligt revidera maskinen i fråga och neutralisera skadliga program som har trängt in i den, och en modul för att hålla virussignaturer uppdaterade. För arbetsstationer ställs dessutom ett krav på närvaron av procedurer för att kontrollera e-postmeddelanden.
När det gäller antivirusskydd skiljer sig arbetsstationerna här från hemdatorer i första hand. säkerhetspolicy för antivirus som accepteras av organisationen som äger nätverket och är bindande för alla användare. En vanlig praxis är införandet av en separat position för systemadministratören, som är skyldig att övervaka tillståndet för datorutrustning. Samtidigt har andra användare ofta inte rätt att få tillgång till ett antal program som är avgörande för nätverkets funktion, även om de är installerade på deras dator. Antivirussäkerhetsprogram är en av dessa.
Förekomsten av tiotals, hundratals och ibland tusentals datorer förenade i ett lokalt nätverk kräver avsevärda kostnader för administrationen av var och en av dem. För att kunna göra detta för en relativt liten grupp administratörer används olika specialprogram och verktyg för centraliserad fjärrhantering. Med deras hjälp kan administratören samtidigt hantera och konfigurera program på fjärrdatorer och andra nätverkselement som är underordnade honom utan att resa sig bakom sin dator.
Följaktligen ställs ett ytterligare krav på antiviruskomplexet för att skydda arbetsstationer och nätverksservrar - närvaron av ett mjukvaruverktyg för fjärrcentraliserad hantering av lokala applikationer.
E-postskyddsnivå
E-postskydd är det andra steget i nätverksskydd mot virus. Det tjänar till att minska belastningen och öka tillförlitligheten hos skyddssystemet för arbetsstationer och nätverksservrar. Dessutom kommer antivirusgenomsökning av e-post, nämligen utgående e-post, i händelse av en enda virusincident inom nätverket, att fungera som ett hinder för spridningen av detta virus till andra externa datorer. Skyddssystemet på denna nivå använder ett komplex för att skydda e-postsystem.
I allmänhet är en e-postserver en dator på vilken ett e-postbehandlingsprogram är installerat och som körs framgångsrikt. E-postservern tillhör servergruppen, inte till arbetsstationer. Detta beror på det faktum att dess huvudsakliga syfte är att säkerställa driften av postsystemet, och inte att lösa lokala tillämpade problem. Således är e-postservern faktiskt ett arkiv med information (e-postmeddelanden) för andra nätverksanvändare.
E-postprogram eller agent för vidarebefordran av meddelanden 3 I litteraturen används ibland den engelska termen MTA – en förkortning från engelska. Mail Transfer Agent utför överföring av e-postmeddelanden från en dator till en annan. Detta sker vanligtvis i följande ordning: avsändarens dator, som finns i det interna nätverket, kontaktar e-postprogrammet på servern och vidarebefordrar brevet till det. Vidare extraherar e-postservern mottagarens adress från brevet och gör ytterligare omdirigering - till Internet eller tillbaka till det lokala nätverket till en annan användare från det. Omvänd vidarebefordran sker på liknande sätt: servern tar emot ett brev utifrån adresserat till en användare som har en brevlåda på sig. Därefter får användaren via sin mailagent ett meddelande om att ett nytt meddelande har dykt upp i hans brevlåda. Om han vill ta emot det kontaktar mailagenten servern och kopierar brevfilerna till användarens maskin. Således bildas en kö av ännu inte skickade och ännu inte mottagna brev på servern och inkommande korrespondens lagras helt eller delvis.
Därför bör antivirusgenomsökning omfatta både genomsökning av alla strömmar som passerar försändelsen och lagring av e-post.
Därför bör ett antiviruspaket för att skydda e-post innehålla:
- Antivirusskanning i realtid av korrespondens som passerar genom postsystemet
- Antivirusskanning i realtid av filer som användarna begär från sina brevlådor
- Antivirusskanning på begäran efter filer i e-postformat lagrade på servern, nämligen information i användarens postlådor
- Verktyg för att uppdatera antivirusdatabaser
Säkerhetsnivå för gateways
I de flesta fall spelar antivirusskydd på gatewaynivå en stödjande roll i nätverkets övergripande antivirussäkerhetssystem. Detta beror på att uppgiften för ett sådant antiviruskomplex bara är att kontrollera information som kommer utifrån för att se om det finns skadliga program. Men även om viruset tränger in i gatewayen kommer det inte att kunna infektera någon dator: det kommer att fångas upp av antiviruset på den lokala maskinen, och i fallet med ett infekterat e-postmeddelande kommer det att stoppas på e-postservern .
Ett sådant scenario förverkligas dock endast om nätverkets antivirusskyddssystem fungerar korrekt och utan avbrott, särskilt på skyddsnivån för arbetsstationer och nätverksservrar. I praktiken är misslyckanden vanliga. Ju större det lokala nätverket är, desto mer sannolikt är det att en sådan incident kan inträffa. Trots att det distribuerade systemet för skydd av arbetsstationer och nätverksservrar i alla fall kommer att förhindra att ett sådant virus sprids vidare längs nätverket och det kommer att lokaliseras på en infekterad maskin, är detta fortfarande inte särskilt bra, eftersom mycket viktiga dokument kan även lagras på den och i avsaknad av gatewayskydd kan viruset till exempel utföra obehörig utskick eller tillåta en angripare att stjäla konfidentiell information.
Därför kan antivirusskyddet för gatewayen avsevärt öka tillförlitligheten för antivirusskyddet i allmänhet.
Dessutom, i händelse av ett virusutbrott på Internet, är det gatewayskyddssystemet som kommer att reagera och meddela administratören först, vilket gör det möjligt för honom att omedelbart vidta åtgärder för att öka skyddsnivån, till exempel för att utföra en brådskande extraordinär uppdatering av antivirusdatabaserna eller till och med koppla bort vissa särskilt viktiga eller hemliga datorer från nätverket.
Per definition är en gateway en dator med ett installerat program som implementerar en mekanism för att överföra data från ett nätverk till ett annat. Vanligtvis innebär detta en övergång från ett lokalt nätverk till Internet, och alla datorer i nätverket, med sällsynta berättigade undantag, kommunicerar med Internet endast via en gateway.
Gatewayens huvudsakliga funktion är att överföra förfrågningar från ett segment till ett annat. Till exempel, om en intern användare behöver ladda ner information från en extern webbplats, skickar han en motsvarande förfrågan till gatewayen, som, baserat på dessa data, frågar fjärrwebbservern, tar emot den nödvändiga informationen från den och överför den till användare. Gatewayen kan också fungera i motsatt riktning - när webbplatsen är inne i det lokala nätverket, och förfrågan kommer från en extern användare. När det gäller företags e-post agerar e-postservern som användare.
På samma sätt som e-postskydd används ett antiviruskomplex på gatewayskyddsnivån för att skydda gatewayerna. Han är endast ansvarig för att kontrollera data som passerar genom den, och komplexet för att skydda nätverksservrar är ansvarigt för filsystemets renhet. Därför bör ett mjukvarupaket för att skydda gateways endast innehålla filter för flöden som passerar genom den. Detta är vanligtvis HTTP 4 HTTP (från engelska Hypertext Transfer Protocol) är en standard som definierar en algoritm för att överföra information i olika format. Detta är det mest använda protokollet idag, FTP 5 FTP (från engelska. File Transfer Protocol) definierar mekanismen för överföring av filer i datornätverk. FTP är ett av de äldsta protokollen, det föreslogs 1971, medan HTTP först 1990 och SMTP 6 SMTP (Simple Mail Transfer Protocol) är ett nätverksprotokoll för överföring av elektroniska meddelanden.
Planen:
Inledning ………………………………………………………………………………….… ..3
Skannrar ………………………………………………………….… 6
CRC-skannrar ……………………………………………… ..… ..7
Blockerare ………………………………………………………… ..8
Immuniserare …………………………………. ………………….… 9
Konceptet med antivirusinformationsskydd ... ... ... ... ... ... 5
Klassificering av antivirusprogram ………………………… … …… .6
Huvudfunktionerna för de vanligaste antivirusprogrammen ... ..10
Dr. Webb……………………………………… …… 10
Kaspersky Anti-Virus ………………………………………… ... 10
Antiviral Toolkit Pro ………………………………… 12
Norton AntiVirus 2000 ………………………………………………… 13
Slutsats ……………………………………………………………………………… .15
Lista över använd litteratur ………………………………………………… ... 16
Introduktion.
Informationssäkerhetsmedel är en kombination av tekniska, elektriska, elektroniska, optiska och andra enheter och enheter, enheter och tekniska system, såväl som andra egendomselement som används för att lösa olika problem med informationsskydd, inklusive att förhindra läckage och säkerställa säkerheten för de skyddade information.
Generellt sett kan sätten att säkerställa skyddet av information när det gäller att förhindra avsiktliga handlingar, beroende på metoden för genomförande, delas in i grupper:
Tekniska (hårdvara) medel. Det är enheter av olika slag (mekaniska, elektromekaniska, elektroniska etc.) som löser informationssäkerhetsproblem med hårdvara. De förhindrar antingen fysisk penetration eller, om penetrationen ägde rum, tillgång till information, inklusive genom dess förklädnad. Den första delen av problemet löses av lås, fönsterbommar, vakter, trygghetslarm, etc. Den andra - av brusgeneratorer, strömfilter, avsökningsradio och många andra enheter som "blockerar" potentiella informationsläckagekanaler eller låter dem vara upptäckt. Fördelarna med tekniska medel är förknippade med deras tillförlitlighet, oberoende av subjektiva faktorer och hög motståndskraft mot modifiering. Svagheter - brist på flexibilitet, relativt stor volym och vikt, hög kostnad;
Mjukvaruverktyg inkluderar program för användaridentifiering, åtkomstkontroll, informationskryptering, radering av kvarvarande (arbets)information såsom temporära filer, testkontroll av skyddssystemet etc. Fördelarna med mjukvaran är mångsidighet, flexibilitet, tillförlitlighet, enkel installation , förmågan att modifiera och utveckla. Nackdelar - begränsad nätverksfunktionalitet, användningen av några av resurserna på filservern och arbetsstationerna, hög känslighet för oavsiktliga eller avsiktliga ändringar, eventuellt beroende av typ av datorer (deras hårdvara);
Blandad hårdvara/mjukvara implementerar samma funktioner som hårdvara och mjukvara separat och har mellanliggande egenskaper;
Organisatoriska medel består av organisatoriska och tekniska (förberedelse av rum med datorer, läggning av ett kabelsystem, med hänsyn tagen till kraven på att begränsa tillgången till det, etc.) och organisatoriska och juridiska (nationell lagstiftning och arbetsregler som fastställts av ledningen för en särskilt företag). Fördelarna med organisatoriska verktyg är att de låter dig lösa många olika problem, är lätta att implementera, reagerar snabbt på oönskade åtgärder i nätverket och har obegränsade möjligheter till modifiering och utveckling. Nackdelar - stort beroende av subjektiva faktorer, inklusive den allmänna organisationen av arbetet på en viss avdelning.
I mitt arbete kommer jag att överväga en av informationssäkerhetsprogramvaran - antivirusprogram. Så syftet med mitt arbete är att analysera verktyg för antivirusinformationsskydd. Uppnåendet av detta mål förmedlas genom lösningen av följande uppgifter:
Studie av begreppet antivirusinformationsskydd;
Övervägande av klassificeringen av verktyg för antivirusinformationsskydd;
Bekantskap med huvudfunktionerna hos de mest populära antivirusprogrammen.
Begreppet antivirusinformationsskydd.
Antivirusprogram (antivirus) är ett program för att upptäcka datavirus, såväl som oönskade (anses skadliga) program i allmänhet, och återställa filer infekterade (modifierade) av sådana program, samt för att förebygga - förhindra infektion (modifiering) av filer eller operativsystemet med skadlig kod (till exempel genom vaccination).
Antivirusprogram består av rutiner som försöker upptäcka, förhindra och ta bort datavirus och annan skadlig programvara.
Klassificering av antivirusprogram.
Antivirusprogram är mest effektiva i kampen mot datavirus. Jag vill dock genast notera att det inte finns några antivirus som garanterar ett hundraprocentigt skydd mot virus, och uttalanden om existensen av sådana system kan betraktas som antingen orättvis reklam eller oprofessionellt. Sådana system existerar inte, eftersom det för vilken antivirusalgoritm som helst alltid är möjligt att erbjuda en motalgoritm för ett virus som är osynligt för detta antivirus (det motsatta är lyckligtvis också sant: du kan alltid skapa ett antivirus för vilken virusalgoritm som helst).
De mest populära och effektiva antivirusprogrammen är antivirusskannrar (andra namn: fag, polyfag, doktorsprogram). De följs av CRC-skannrar när det gäller effektivitet och popularitet (även: revisor, checksumer, integrity checker). Ofta kombineras båda dessa metoder till ett universellt antivirusprogram, vilket avsevärt ökar dess kraft. Olika typer av blockerare och immuniseringsmedel används också.
2.1 Skannrar.
Funktionsprincipen för antivirusskannrar är baserad på att skanna filer, sektorer och systemminne och söka efter kända och nya (okända för skannern) virus. Så kallade "masker" används för att söka efter kända virus. En virusmask är en konstant kodsekvens som är specifik för det specifika viruset. Om viruset inte innehåller en permanent mask, eller längden på denna mask inte är tillräckligt lång, används andra metoder. Ett exempel på en sådan metod är ett algoritmiskt språk som beskriver alla möjliga varianter av koden som kan påträffas vid infektering av denna typ av virus. Detta tillvägagångssätt används av vissa antivirus för att upptäcka polymorfa virus. Skannrar kan också delas in i två kategorier - "allmänt" och "specialiserade". Universella skannrar är designade för att söka efter och neutralisera alla typer av virus, oavsett i vilket operativsystem skannern är designad att fungera. Specialiserade skannrar är utformade för att neutralisera ett begränsat antal virus eller bara en klass av dem, till exempel makrovirus. Specialiserade skannrar designade endast för makrovirus är ofta den mest bekväma och pålitliga lösningen för att skydda dokumentflödessystem i MS Word och MS Excel.
Scanners är också uppdelade i "resident" (monitorer, väktare), som utför skanning "on the fly", och "icke-resident", som skannar systemet endast på begäran. Som regel ger "memory resident" skannrar ett mer tillförlitligt systemskydd, eftersom de reagerar omedelbart på uppkomsten av ett virus, medan en "memory resident" skanner kan känna igen ett virus först vid nästa lansering. Å andra sidan kan en resident scanner sakta ner din dator något, inklusive på grund av eventuella falska positiva resultat.
Fördelarna med alla typer av skannrar inkluderar deras mångsidighet, nackdelarna är den relativt låga hastigheten för att söka efter virus. Följande program är mest utbredda i Ryssland: AVP - Kaspersky, Dr. Weber - Danilov, Norton Antivirus från Semantic.
2.2 CRC- skannrar.
Funktionsprincipen för CRC-skannrar är baserad på beräkningen av CRC-summor (kontrollsummor) för filer/systemsektorer som finns på disken. Dessa CRC-summor sparas sedan i antivirusdatabasen, liksom en del annan information: fillängder, datum för senaste ändring, etc. Vid efterföljande uppstart jämför CRC-skannrarna data som finns i databasen med de faktiska beräknade värdena. Om informationen om en fil som registrerats i databasen inte matchar de verkliga värdena, signalerar CRC-skannrar att filen har modifierats eller infekterats med ett virus. CRC-skannrar som använder anti-stealth-algoritmer är ett ganska kraftfullt vapen mot virus: nästan 100 % av virusen upptäcks nästan omedelbart efter att de dyker upp på datorn. Den här typen av antivirus har dock en inneboende brist som avsevärt minskar deras effektivitet. Denna nackdel är att CRC-skannrar inte kan fånga ett virus i det ögonblick det dyker upp i systemet, och de gör det först efter ett tag, efter att viruset har spridits genom datorn. CRC-skannrar kan inte upptäcka ett virus i nya filer (i e-post, på disketter, i filer som återställts från en säkerhetskopia eller vid uppackning av filer från ett arkiv), eftersom deras databaser inte har information om dessa filer. Dessutom finns det periodvis virus som utnyttjar denna "svaghet" hos CRC-skannrar, infekterar endast nyskapade filer och förblir därför osynliga för dem. De mest använda programmen av detta slag i Ryssland är ADINF och AVP Inspector.
2.3 Blockerare.
Antivirusblockerare är minnesbaserade program som fångar upp "virusfarliga" situationer och meddelar användaren om det. Virushotande anrop inkluderar anrop att öppna för skrivning till körbara filer, skrivning till bootsektorer på diskar eller MBR på en hårddisk, försök från program att förbli inhemska, etc., det vill säga anrop som är typiska för virus vid tidpunkter för virus. replikering. Ibland är vissa blockeringsfunktioner implementerade i inbyggda skannrar.
Fördelarna med blockerare inkluderar deras förmåga att upptäcka och stoppa ett virus i det tidigaste skedet av dess reproduktion, vilket förresten är mycket användbart i fall då ett välkänt virus ständigt "kryper ut från ingenstans". Nackdelarna inkluderar förekomsten av sätt att kringgå skyddet av blockerare och ett stort antal falska positiva, vilket uppenbarligen var orsaken till den nästan fullständiga vägran av användare från denna typ av antivirusprogram (till exempel ingen blockerare för Windows95 / NT är känt - det finns ingen efterfrågan, inget utbud).
Det bör också noteras sådan riktning av antivirusverktyg som antivirusblockerare, gjorda i form av hårdvarukomponenter ("hårdvara"). Det vanligaste är det inbyggda BIOS-skrivskyddet i hårddiskens MBR. Men som i fallet med programvarublockerare, kan sådant skydd enkelt kringgås genom att skriva direkt till portarna på diskkontrollern, och att starta DOS-verktyget FDISK utlöser omedelbart en "falsk positiv" av skyddet.
Det finns flera mer mångsidiga hårdvarublockerare, men till nackdelarna som anges ovan finns det också kompatibilitetsproblem med vanliga datorkonfigurationer och svårigheter att installera och konfigurera dem. Allt detta gör hårdvarublockerare extremt impopulära jämfört med andra typer av antivirusskydd.
2.4 Immuniseringsmedel.
Immuniserare är program som skriver koder till andra program som rapporterar en infektion. De brukar skriva dessa koder i slutet av filer (som ett filvirus) och leta efter ändringar varje gång de kör filen. De har bara en nackdel, men den är dödlig: den absoluta oförmågan att rapportera infektion med stealth-viruset. Därför används sådana immuniseringsmedel, såväl som blockerare, praktiskt taget inte för närvarande. Dessutom kontrollerar många program som utvecklats nyligen sig själva för integritet och kan missta koderna som är inbäddade i dem för virus och vägra att fungera.
Huvudfunktionerna för de vanligaste antivirusprogrammen.
Dr. Webb.
Dr. Web är ett gammalt och välförtjänt populärt antivirus i Ryssland, som har hjälpt användare i kampen mot virus i flera år. Nya versioner av programmet (DrWeb32) körs i flera operativsystem och skyddar användare från mer än 17 000 virus.
Uppsättningen funktioner är ganska standard för ett antivirus - skanna filer (inklusive de som komprimeras av speciella program och arkiveras), minne, startsektorer för hårddiskar och disketter. Trojaner kan som regel inte botas, utan tas bort. Tyvärr skannas inte e-postformat så direkt efter att du fått ett e-postmeddelande kan du inte ta reda på om det finns ett virus i bilagan. Bilagan måste sparas på disken och kontrolleras separat. Men "Spider Guard" invånaremonitorn som medföljer programmet låter dig lösa detta problem "i farten".
Dr. Web är ett av de första programmen som implementerar heuristisk analys, som kan upptäcka virus som inte ingår i antivirusdatabasen. Analysatorn upptäcker virusliknande instruktioner i ett program och markerar ett sådant program som misstänkt. Antivirusdatabasen uppdateras via Internet med ett knapptryck. Den fria versionen av programmet utför inte heuristisk analys och desinficerar inte filer.
Kaspersky Anti-Virus.
Inspektören övervakar alla ändringar i din dator och, om obehöriga ändringar i filer eller i systemregistret upptäcks, låter den dig återställa innehållet på disken och ta bort skadliga koder. Inspektören kräver inga uppdateringar av antivirusdatabasen: integritetskontroll utförs baserat på borttagning av originalfilfingeravtryck (CRC-summor) och deras efterföljande jämförelse med de modifierade filerna. Till skillnad från andra revisorer stöder Inspector alla de mest populära körbara filformaten.
Den heuristiska analysatorn gör det möjligt att skydda din dator även från okända virus.
Bakgrundsvirusinterceptor Monitor, som ständigt finns i datorns minne, utför antivirusskanning av alla filer omedelbart vid tidpunkten för deras lansering, skapande eller kopiering, vilket gör att du kan kontrollera alla filoperationer och förhindra infektion med även de mest tekniska avancerade virus.
E-postfiltrering mot virus förhindrar att virus kommer in i din dator. Mail Checker-plugin-programmet tar inte bara bort virus från e-postmeddelandet, utan återställer också det ursprungliga innehållet i e-postmeddelanden. Omfattande e-postgenomsökning förhindrar ett virus från att gömma sig i något av e-postelementen genom att skanna alla delar av inkommande och utgående meddelanden, inklusive bifogade filer (inklusive arkiverade och packade) och andra meddelanden på valfri kapslingsnivå.
Antivirusscanner Scanner låter dig utföra en fullskalig genomsökning av allt innehåll på lokala enheter och nätverksenheter på begäran.
Skriptvirusuppfångaren Script Checker tillhandahåller antivirusgenomsökning av alla körande skript innan de körs.
Stöd för arkiverade och komprimerade filer ger möjlighet att ta bort skadlig kod från en infekterad komprimerad fil.
Isolering av infekterade objekt säkerställer att infekterade och misstänkta objekt isoleras och sedan flyttas till en speciellt organiserad katalog för vidare analys och återställning.
Automatisering av antivirusskydd låter dig skapa ett schema och ordning för drift av programkomponenter; automatiskt ladda ner och ansluta nya uppdateringar till antivirusdatabasen via Internet; skicka varningar om upptäckta virusattacker via e-post osv.
Antiviral Toolkit Pro.
Antiviral Toolkit Pro är en rysk produkt som har vunnit popularitet utomlands och i Ryssland på grund av dess bredaste kapacitet och höga tillförlitlighet. Det finns versioner av programmet för de flesta populära operativsystemen, antivirusdatabasen innehåller cirka 34 000 virus.
Det finns flera leveransalternativ - AVP Lite, AVP Gold, AVP Platinum. Den mest kompletta versionen kommer med tre produkter - en skanner, en invånaremonitor och en kontrollcentral. Skannern låter dig skanna filer och minne efter virus och trojaner. Samtidigt skannas packade program, arkiv, e-postdatabaser (Outlook-mappar etc.) och heuristisk analys görs för att söka efter nya virus som inte har lagts in i databasen. Monitorn "on the fly" skannar varje fil som den öppnar för virus och varnar för ett virushot, samtidigt som den blockerar åtkomst till den infekterade filen. Kontrollcentret tillåter schemalagd antivirusskanning och databasuppdateringar via Internet. Demoversionen saknar förmågan att desinficera infekterade objekt, skanna packade och arkiverade filer eller heuristisk analys.
Norton AntiVirus 2000.
Norton AntiVirus är baserat på en annan populär produkt, den personliga brandväggen AtGuard (@guard) från WRQ Soft. Som ett resultat av appliceringen av Symantecs teknologiska kraft på den, är resultatet en integrerad produkt med avsevärt utökad funktionalitet. Brandväggen är fortfarande kärnan i systemet. Det fungerar mycket effektivt utan konfiguration, stör praktiskt taget inte den dagliga användningen av nätverket, men blockerar försök att starta om eller "lägga på" datorn, få tillgång till filer och skrivare och upprätta en anslutning till trojaner på datorn.
Norton AntiVirus är den enda brandväggen vi har granskat som erbjuder 100 % skydd mot denna metod (vilket). Filtrering av alla typer av paket som färdas över nätverket utförs, inkl. service (ICMP), kan reglerna för brandväggen ta hänsyn till vilken applikation som arbetar med nätverket, vilken typ av data som överförs och till vilken dator, vid vilken tid på dygnet det händer.
För att bevara konfidentiell data kan brandväggen blockera sändningen av en e-postadress, till exempel en webbläsare, till webbservrar, och den kan även blockera cookies. Filtret för konfidentiell information varnar för ett försök att skicka okrypterad information till nätverket som användaren har angett och markerat som konfidentiell.
Aktivt innehåll på webbsidor (Java-applets, skript, etc.) kan också blockeras av Norton AntiVirus - ett innehållsfilter kan ta bort osäkra element från texten på webbsidor innan de når webbläsaren.
Som en tilläggstjänst som inte är direkt relaterad till säkerhetsproblem erbjuder Norton AntiVirus ett mycket bekvämt filter för reklambanners (dessa irriterande bilder klipps helt enkelt ut från sidan, vilket gör att den laddas snabbare), samt ett föräldrakontrollsystem. Genom att förbjuda besök på vissa kategorier av webbplatser och lansering av vissa typer av internetapplikationer kan du vara ganska lugn om innehållet i nätverket som är tillgängligt för barn.
Utöver brandväggsfunktionerna erbjuder Norton AntiVirus användaren skyddet av Norton Antivirus. Detta populära antivirusprogram med regelbundet uppdaterade antivirusdatabaser gör att du på ett tillförlitligt sätt kan upptäcka virus i de mycket tidiga stadierna av deras uppkomst. Alla filer som laddas upp från nätverket, filer bifogade till e-post och aktiva delar av webbsidor genomsöks efter virus. Dessutom har Norton Antivirus en antivirusskanner och bildskärm som ger ett systemomfattande antivirusskydd utan att vara bunden till nätverksåtkomst.
Slutsats:
Genom att bekanta mig med litteraturen uppnådde jag mitt mål och drog följande slutsatser:
Skydd information och informationssäkerhet (2)
Sammanfattning >> Informatik... skydd information(Rättslig skydd information, teknisk skydd information, skydd ekonomisk information etc.). Organisatoriska metoder skydd information och skydd information i Ryssland har följande egenskaper: Metoder och medel skydd information ...
Antivirusprogram (antivirus) är ett program för att upptäcka datavirus, såväl som oönskade (anses skadliga) program i allmänhet, och återställa filer infekterade (modifierade) av sådana program, samt för att förebygga - förhindra infektion (modifiering) av filer eller operativsystemet med skadlig kod (till exempel genom vaccination);
det finns inga antivirus som garanterar ett hundraprocentigt skydd mot virus;
De mest populära och effektiva antivirusprogrammen är antivirusskannrar (andra namn: fag, polyfag, doktorsprogram). De följs av CRC-skannrar när det gäller effektivitet och popularitet (även: revisor, checksumer, integrity checker). Ofta kombineras båda dessa metoder till ett universellt antivirusprogram, vilket avsevärt ökar dess kraft. Olika typer av blockerare och immuniseringsmedel används också.
...
