Как объект защиты информации

Вид материала

Документы

Содержание 56. Методы и средства защиты от компьютерных вирусов. Программы-доктора или фаги 57. Антивирусные средства. Ibm antivirus Viruscan/ clean-up Panda Antivirus 58. Профилактика заражения вирусами компьютерных систем. 59. Структура антивирусной защиты предприятия.

Подобный материал:

• Учебная программа по дисциплине информационная безопасность и защита информации скородумов, 78.62kb.
• Ии повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность, 77.16kb.
• Рекомендации по определению мер инженерно-технической защиты информации, 273.48kb.
• Учебная программа курса «методы и средства защиты компьютерной информации» Модуль, 132.53kb.
• Курс лекций маи, 2420.58kb.
• Вопросы к зачету по курсу “Методы и средства защиты информации” для специальностей, 72.21kb.
• Основы защиты компьютерной информации, 51.61kb.
• Принципы защиты информации, 434.66kb.
• Программные средства защиты информации, 22.33kb.
• Пояснительная записка к концепции защиты информации, создаваемой, обрабатываемой, 522.4kb.

55. Механизмы заражения компьютерными вирусами.

Механизм заражения компьютерным вирусом зависит от среды его обитания, т.е. от того, например, является данный вирус файловым или загрузочным.

Файловые вирусы используют в качестве своего носителя исполняемые файлы. К ним относятся файлы, состоящие из команд операционной системы, файлы пользовательских и системных программ в машинных кодах, а также исполняемые с помощью макрокоманд программы, автоматизирующие работу с документами и таблицами (например, MS Word, MS Office, MS Excel).

Файловые вирусы могут размещаться в начале, середине или конце заражаемого файла.

Если код вируса располагается в начале заражаемой программы, то тело самой программы оттесняется и приписывается к концу файла. Наряду с оттеснением программы может применяться также вытеснение программы без сохранение ее содержимого. Такая программа становится «убитой насмерть» и не может быть восстановлена никакими антивирусными средствами.

Подобным образом реализуется механизм заражения при размещении вирусного кода в середине программы. Из середины файла «изымается» фрагмент программы, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Возможно также внедрение вируса в середину файла без сохранения участка, на место которого помещается вирус.

Чаще всего вирус внедряется путем приписывания его в конец файла. При этом, как и в случае с внедрением вируса в середину файла, первые команды файла должны быть заменены командами перехода на тело вируса.

Деструктивная функция вируса, как правило, проявляется не сразу. Как и при настоящей вирусной инфекции, при заражении компьютерным вирусом имеется «инкубационный» период, на протяжении которого вирусы только размножаются, никак не проявляя себя. Заражая новые программы, вирусы стараются сохранить их работоспособность с тем, чтобы не выдать свое присутствие.

Инициирование деструктивной функции вируса может осуществляться при выполнении определенных условий, например, в случае реализации заданного числа заражений программ, при наступлении определенной даты, при обращении операционной системы к некоторому ресурсу и т.д.

Особое место среди файловых вирусов занимают так называемые макровирусы. В отличие от программных вирусов, макровирусы заражают файлы не программ, а данных. Это бывает возможным, если формат хранения данных допускает использование макрокоманд для более удобного представления информации. Например, файлы текстового редактора MS Word, табличного процессора MS Excel могут содержать макрокоманды на языке Visual Basic. Макровирусы представляют собой вредительские программы, написанные на макроязыке, встроенном в текстовый редактор, табличный процессор или другой пакет программных средств. При использовании этих средств для выполнения определенных действий над файлами (открытие, сохранение, закрытие и т.д.) автоматически выполняются соответствующие макропрограммы файлов. При этом получают управление и макровирусы, написанные на том же макроязыке, причем такое управление они получают либо автоматически, либо при выполнении определенных условий (например, при выборе определенной клавиши). Работая в «зараженном» редакторе (процессоре) с другим файлом, последний также заражается.

Многие макровирусы можно рассматривать как резидентные, так как обычно такие вирусы находятся в оперативной памяти и осуществляют негативное воздействие на редактируемые документы, начиная с момента загрузки зараженных данных до момента завершения работы редактора данных.

В отличие от макровирусов большинство других файловых вирусов относится к числу нерезидентных. Это связано с тем, что такие вирусы используют в качестве носителя не файлы данных, а программные файлы, а поэтому находятся в оперативной памяти только на время инициализации программ, после чего покидают ее вместе с программой-носителем.

Загрузочные вирусы с учетом механизма из распространения (заражения) относятся к числу резидентных. Загрузочные вирусы размещаются в загрузочных (Boot) секторах гибких магнитных дисков, а также в области, предназначенной для хранения главной загрузочной записи (MBR) жестких дисков.

Если диск, с которого производится загрузка операционной системы, заражен загрузочным вирусом, то этот вирус первым получает управление, переписывает сам себя в оперативную память, тем самым резидентно заражая компьютер. Только после этого копируется загрузочный сектор диска и ему передается управление. В дальнейшем активный вирус, постоянно находясь в ОП, будет заражать загрузочные сектора всех еще не зараженных гибких дисков, замещая в них программу начальной загрузки своей головкой (заголовком) и получая соответствующее управление. Такое заражение может произойти даже в том случае, если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Распространение загрузочных вирусов происходит наиболее часто при перезагрузке операционной системы после так называемых «зависаний» или отказов ЭВМ.

С точки зрения механизма распространения загрузочные вирусы обладают гораздо меньшими возможностями по сравнению с программными файловыми вирусами. Для последних всегда имеется достаточно большое количество программ, доступных для заражения. Загрузочным вирусам приходится дожидаться того момента, когда в дисковод будет помещен не защищенный от записи и еще незараженный носитель информации.


56. Методы и средства защиты от компьютерных вирусов.

Необходимость разработки и использования специальных антивирусных средств вызвана массовым распространением и серьезными последствиями воздействия на ресурсы КС компьютерных вирусов. Эффективность защиты от компьютерных вирусов существенно повышается при совместном применении как антивирусных программно-аппаратных средств, так и организационно-профилактических мер.Антивирусные программные и программно-аппаратные средства применяются для решения следующих основных задач:

• обнаружение вирусов в КС;
  
• блокирование работы программ-вирусов;
  
• удаление вирусов и восстановление ресурсов КС.
  

Существующие в настоящее время программные средства антивирусной защиты бывают следующих видов:

• программы-детекторы;
  
• программы-фильтры;
  
• программы-ревизоры;
  
• программы-доктора или фаги;
  
• программы-вакцины.
  

Программы-детекторы позволяют обнаружить только те вирусы, которые известны разработчикам таких программ. С этой целью осуществляется поиск путем сканирования характерного для конкретного вируса опознавательного кода (сигнатуры). При обнаружении вируса программа-детектор выводит на экран соответствующее сообщение. Примером такой программы может быть популярный американский антивирус Norton Antivirus 2000 (NAV), существующий как в Windows-, так и в DOS-версиях. Ежемесячно обновляемая база данных этой программы содержит более 40тыс. записей, отражающих характерные признаки существующих вирусов.

Для обнаружения вирусов используются также программы-фильтры и программы-ревизоры.

Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, которые обнаруживают подозрительные действия при работе компьютера, характерные для вируса. Это могут быть, например, попытки изменения атрибутов файла. При обнаружении таких действий «сторож» посылает пользователю соответствующее сообщение. Достоинством программ-фильтров является их способность к обнаружению вирусов на самой ранней стадии существования, т.е. до размножения. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), что мешает работе и вызывает раздражение пользователей.

Наиболее надежным средством обнаружения вирусов являются программы-ревизоры. Эти программы запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер еще не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Основным достоинством данного программного средства является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Исключение составляют макровирусы, для обнаружения которых программы-ревизоры непригодны, так как текстовые и табличные данные достаточно часто изменяются. С помощью программ-ревизоров невозможно также определить вирус в файлах, которые поступают в систему уже зараженными. Такие вирусы обнаруживаются только после размножения в системе.

К числу программ-ревизоров относится, например, широко распространенная в России программ Adinf.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Антивирусы-полифаги исторически появились первыми и до сих пор удерживают несомненное лидерство в этой области.

К числу подобных программ раннего поколения относится программа-полифаг Aidstest, первая версия которой была выпущена еще в 1988 году.

Первоначально антивирусы-полифаги работали по очень простому принципу – осуществляли последовательный просмотр (сканирование) файлов на предмет нахождения в них сигнатур известных вирусных программ. Если такая сигнатура была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа.

Последующее значительное усложнение вирусных программ, увеличение их общего количества вызвали необходимость совершенствования антивирусных средств. Программы-доктора стали использовать для обнаружения вирусов так называемые эвристические анализаторы.

Сущность эвристического анализа состоит в проверке возможных сред обитания дисков и выявлении в них команд, а значит и действий, характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя операционную систему. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Эвристический анализатор имеется, например, в антивирусной программе Doctor Web. Одной из самых популярных в России антивирусных программ, имеющих эвристический анализатор, является также программа Antiviral Toolkit Pro 3.0 (AVP). На данный антивирус выходит еженедельное обновление, в его базе более 30тыс. записей. Программа AVP относится к классу детекторов-докторов и является одним из лидеров на российском рынке антивирусных программ.

В отсутствие программ-докторов, осуществляющих «лечение» от вирусов, применяются программы-вакцины, или иммунизаторы, предотвращающие заражение файлов. Для этого соответствующая вакцина модифицирует программу таким образом, чтобы это не отражалось на ее работе, а вирус в нее не внедрялся, воспринимая ее как уже зараженную. В настоящее время программы-вакцины имеют ограниченное применение.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.


57. Антивирусные средства.

Особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. В Украине практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версия обнаруживает более 8000 вирусов.

Программа-ревизор ADINF.

ADinf- это пporpaммa-peвизop. Пoзвoляeт обнapyжить пoявлeниe любoгo из cyщecтвyющиx виpycoв, включaя Stealth-виpycы и виpycы-мyтaнты, a тaкжe нeизвecтныe нa ceгoдняшний дeнь виpycы. B peжимe пoвceднeвнoгo кoнтpoля ADinf зaпycкaeтcя aвтoмaтичecки из фaйлa AUTOEXEC.BAT пpи пepвoм включeнии кoмпьютepa. ADinf зaпoминaeт нa диcкe инфopмaцию o фaйлax, включaющyю длины фaйлoв, дaтy и вpeмя coздaния, кoнтpoльныe cyммы фaйлoв и cлeдит зa иx coxpaннocтью. Ocoбeннo oтcлeживaютcя виpycoпoдoбныe измeнeния, o кoтopыx нeмeдлeннo выдaeтcя пpeдyпpeждeниe. K пoдoзpитeльньм виpycoпoдoбным измeнeниям, нaпpимep, oтнocятcя измeнeния длины фaйлa или eгo кoнтpoльнoй cyммы бeз измeнeния дaты и вpeмeни coздaния. Kpoмe тoгo, ADinf пoзвoляeт нaзнaчaть cпиcoк фaйлoв, любыe измeнeния в кoтopыx oтнocятcя к пoдoзpитeльным. Kpoмe кoнтpoля зa цeлocтнocтью фaйлoв, ADinf cлeдит зa диcкoвьми oпepaциями, пoявлeниeм cбoйныx клacтepoв, зa coxpaннocтью зaгpyзoчныx ceктopoв и дp. ADinf пpoвepяeт диcки, нe иcпoльзyя DOS, a читaя иx пo ceктopaм, пpямьм oбpaщeниeм в BIOS.

B ADinf peaлизoвaн aлгopитм пoиcкa Stealth-виpycoв, Stealth-виpyc нeльзя oбнapyжить пpocтым пpocмoтpoм фaйлa. Пpи oткpытии зapaжeннoгo фanлa Stealth-виpyc yдaляeт ceбя из тeлa пpoгpaммы, a пocлe зaкpытия- вoзвpaщaeт ceбя нa мecтo. ADinf обнаруживает Stealth-виpycы, сравнивая информацию о файлах, выдаваемую DOS, c фактической. Hecoвпaдeниe инфopмaции однозначно yкaэывaeт нa вирус.

IBM ANTIVIRUS/DOS.

Пpoгpaммa IBM AntiViгus/DOS вxoдит в cтaндapтный кoмплeкт пocтaвки PC-DOS (фaйл IBMAVD.EXE). IBM AntiVirus/DOS пpeдoтвpaщaeт пpoникнoвeниe в кoмпьютepнyю cиcтeмy виpycoв, a тaкжe ocyщecтвляeт oбнapyжeниe и yдaлeниe yжe имeющиxcя, IBM AntiVirus/DOS oбнapyживaeт пopядкa 2300 извecтныx виpycoв, a тaкжe c пoмoщью «нeoпpeдeлeннoгo cкaниpoвaния» бoльшoe кoличecтвo виpycoв, пoдoбныx извecтным IBM AntiVirus/DOS виpycaм. C пoмoщью эвpиcтичecкoгo aнaлизa oбнapyживaютcя тaк-жe нeизвecтныe в дaнный мoмeнт виpycы.

Пpoгpaммa мoжeт paбoтaть в фoнoвoм peжимe, oбecпeчивaя пocтoяннyю зaщитy cиcтeмы. Kpoмe тoro, вы мoжeтe пpoвepять диcкeты и жecткиe диcки нa виpycы, зaпycкaя пpoгpaммy вpyчнyю.

Пpи выпoлнeнии пpoгpaммы IBM AntiVirus/DOS нa экpaнe кoмпьютepa пoявляeтcя вcплывaющee oкнo «Пpoвepкa нa виpyc». Пoлoca индикатора пoкaзывaeт пpoцeнт выполнeния пpoвepки. Kpoмe тoгo, oтoбpaжaетcя имя пpoвepяeмoгo в тeкyщий мoмeнт фaйлa и пyть к нeмy. Пpoвepкy в любoй мoмeнт мoжнo пpepвaть, нaжaв кнoпкy Stop. Пocлe oкoнчaния пpoвepки oтoбpaжaетcя oкнo c инфopмaциeй o ee peзyльтaтax. Пpи oбнapyжeнии пpизнaкoв виpyca пoявляeтcя вcплывaющee oкнo «0тчeт o зapaжeнии виpycaми».

Гибкaя cиcтeмa нacтpoeк пoзвoляeт oпpeдeлить кoнкpeтныe кaтaлoги, кoтopыe cлeдyeт пpoвepить, и pacшиpeния фaйлoв. Дoвoльнo yдoбнoe меню c oбшиpнoй cпpaвoчнoй инфopмaциeй, знaчитeльнo oблeгчaeт пoльзoвaниe cиcтeмoй.

Для пpoвepки мoжно выбpaть либo пpoгpaммныe фaйлы, либo вce фaйлы. Пpи выбope peжимa Пpoгpaммныe фaйлы пpoгpaммa IBM AntiVirus/DOS бyдeт пpoвepять oбычныe иcпoлняeмыe фaйлы нa yкaзaнныx диcкax. Taкиe фaйлы имeют pacшиpeния BAT, BIN, CMD, COM, DOS, DLL, EXE, OS2, OV?, PRG и SYS. Пpи выбope peжимa Bce фaилы пpoгpaммa IBM AntiVirus/ DOS бyдeт пpoвepять вce фaйлы на заданныx диcкax. Глaвнaя зaгpyзoчнaя зaпиcь и зaгpyзoчныe зaпиcи вcex aктивныx paздeлoв нa вcex зaдaнныx лoкaльныx жecткиx диcкax, включaя зaгpyзoчныe зaпиcи Meнeджepa зaгpyзки, пpoвepяютcя нa виpycы нeзaвиcимo oт выбpaннoгo peжимa. Ecли пo кaкoй-тo пpичинe дocтyп к фaйлy нeвoзмoжeн, тo этoт фaйл пpoпycкaетcя, и пpoвepкa пpoдoлжaeтcя.

Bcплывaющee oкнo Aвтoмaтичecкaя пpoвepкa пoзвoляeт кoнфигypиpoвaть IBM AntiVirus/DOS для выпoлнeния aвтoмaтичecкoй пpoвepки cиcreмы.

Мoжно yкaзaть пpoгpaммe IBM AntiVirus/DOS, чтoбы oнa пpoвepялa DOS пpи ee зaпycкe - eжeднeвнo, eжeнeдeльнo или eжeмecячнo.

VIRUSCAN/ CLEAN-UP

VIRUSCAN/ CLEAN-UP - этo пaкeт aнтивиpycныx пpoгpaмм кoмпaнии McAfee Associates. Пpoгpaммa VIRUSCAN обнapyживaeт виpycы и пepeдaeт пoдpoбнyю инфopмaцию пpoгpaммe CLEAN-UP, кoтopaя ocyщecтвляeт лечeниe.

VIRUSCAN oбнapyживaeт oкoлo 3000 извecтныx виpycoв и иx мoдификaций. VIRUSCAN пpoвepяeт partition table жecткoгo диcкa (Master Boot Record), DOS Boot Sector, выпoлняeмыe фaйлы, включaя cиcтeмныe, и фaйлы c любыми дpyгими pacшиpeниями.

Kpoмe тoгo, VIRUSCAN oбнapyживaeт нeизвecтныe виpycы. B пepвyю oчepeдь VIRUSCAN пpoвepяeт пoдoзpитeльныe измeнeния, кoтopыe пpoизoшли c фaйлaми c мoмeнтa пocлeднeй пpoвepки. VIRUSCAN xpaнит инфopмaцию o кoнтpoльньк cyммax фaйлoв, paзмepax и дp. Дaлee VIRUSCAN произвoдит пoиcк нoвыx клaccoв виpycoв, aнaлизиpyя кoд фaйлoв нa пpeдмeт xapaктepныx для виpycoв oпepaций, VIRUSCAN cпocoбeн нaйти и виpyc-мyтaнт (шифpyющий cвoй кoд), иcпoльзyя aлгopитмы cтaтиcтичecкoгo aнaлизa, эвpистичecкoгo aнaлизa и дизacceмблиpyя кoд.

Инфициpoвaнный фaйл мoжeт быть yничтoжeн, ecли VIRUSCAN зaпyщeн c ключoм /D, либo oчищeн oт виpyca пpoгpaммoй CLEAN-UP.

Dr.WEB

Dr.Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.

Главной особенностью "Лечебной паутины" является наличие эвристического анализатора. Сущность эвристического анализа состоит в проверке возможных сред обитания дисков и выявлении в них команд, а значит и действий, характерных для вирусов.

Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении.

Panda Antivirus

Антивирусы используют в своей работе уникальную технологию SmartClean. Благодаря этой технологии продукты Panda могут не только устранять вирусы, но и восстанавливать систему, то есть восстанавливать прежние (установленные до заражения) значения системного реестра.

Антивирусы предназначены для операционной системы Windows. Panda Antivirus Platinum в своем составе имеет firewall, задачей которого является недопущение самодеятельности некоторых программ и компонентов системы Windows, иногда рвущихся в интернет без спроса.


58. Профилактика заражения вирусами компьютерных систем.

Эффективное противодействие компьютерным вирусам не должно ограничиваться только применением соответствующих антивирусных средств для их своевременного обнаружения и уничтожения. Большое значение здесь имеют также профилактические меры и мероприятия, изначально препятствующие заражению КС вирусами. Сущность такой профилактики обычно сводится к соблюдению определенных правил, уже показавших на реальном опыте свою эффективность.

Прежде всего, необходимо использовать в работе лицензионные программные продукты, полученные официальным законным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.

Следует оснастить компьютер современными антивирусными программами и постоянно обновлять их версии. Если не обновлять файлы сигнатур вирусов, то рано или поздно можно оказаться беззащитными против новых вирусов. Старое антивирусное программное обеспечение подобно лекарству с истекшим сроком годности.

В особо ответственных случаях для борьбы с вирусами необходимо использовать не только программные, но и аппаратно-программные антивирусные средства, представленные специальными контроллерами с соответствующим программным обеспечением. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. Для этого в программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Аппаратно-программные антивирусные средства работают постоянно и обнаруживают все вирусы, независимо от механизма их действия. При возникновении запретных действий любой программой контроллер выдает сообщение пользователю и блокирует работу компьютера. Примером аппаратно-программной защиты может служить комплекс Sheriff.

Программные антивирусные средства должны регулярно использоваться для входного контроля новых съемных носителей информации, а также всех исполняемых файлов, получаемых из компьютерных сетей. Для такой проверки целесообразно использовать специально выделенные для этой цели компьютеры. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям компьютерной системы.

Необходимо периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы с защищенной от записи дискеты для тестирования файлов и системных областей этих дисков. При этом должна быть предварительно загружена операционная система с защищенной от записи системной дискеты.Следует также всегда защищать свои дискеты от записи при работе на других компьютерах, если на них не требуется производить запись информации. При использовании магнитных дискет 3,5 дюйма для этого достаточно открыть квадратное отверстие.

Важным профилактическим средством является дублирование информации. Прежде всего, необходимо создавать дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует также позаботится о сохранении наиболее ценной рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях с защитой от записи. Если создается копия на несъемном носителе, то желательно ее создавать на других накопителях или ЭВМ.

Постоянное следование приведенным профилактическим рекомендациям позволяет значительно уменьшить вероятность заражения компьютерными вирусами, а также защищает пользователя от безвозвратных потерь информации.


59. Структура антивирусной защиты предприятия.

В общем случае, антивирусная защита информационной системы организации должна строиться по иерархическому принципу:

• службы общекорпоративного уровня - 1-й уровень иерархии;
  
• службы подразделений или филиалов - 2-й уровень иерархии;
  
• службы конечных пользователей - 3-й уровень иерархии.
  

Cлужбы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме.

Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:

• получение обновления программного обеспечения и антивирусных баз;
  
• управление распространением антивирусного программного обеспечения;
  
• управление обновлением антивирусных баз;
  
• контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);
  
• на уровне подразделений:
  
• обновление антивирусных баз конечных пользователей;
  
• обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
  
• на уровне конечных пользователей:
  
• автоматическая антивирусная защита данных пользователя.
  

Функциональные требования

• Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
  
• Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
  
• Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
  
• Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
  
• Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
  
• Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
  
• Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.
  

Общие требования

• Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам создания автоматизированных систем:
  
• Надежность - система в целом должна обладать продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа.
  
• Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов.
  
• Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом.
  
• Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами.
  
• Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
  

Кроме того, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макро вирусов, как наиболее распространенных и опасных в настоящее время.

Требования к надежности и функционированию системы

• Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений.
  
• Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз.
  
• Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.
  
• Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.