Защита информации в локальных вычислительных сетях

 

Антивирусы

Антивирусные программы на сегодняшний день смело можно назвать самым популярным средством защиты информации. Антивирусные программы – программы, предназначенные для борьбы с вредоносным программным обеспечением (вирусами).

Для обнаружения вирусов антивирусные программы используют два метода – сигнатурный и эвристический.

Сигнатурный метод основан на сравнении подозрительного файла с сигнатурами известных вирусов. Сигнатура – это некий образец известного вируса, то есть набор характеристик, позволяющих идентифицировать данный вирус или наличие вируса в файле. Каждый антивирус хранит антивирусную базу, содержащую сигнатуры вирусов. Естественно, каждый день появляются новые вирусы, поэтому антивирусная база нуждается в регулярном обновлении. В противном случае антивирус не будет находить новые вирусы. Раньше все антивирусные программы использовали только сигнатурный метод для обнаружения вирусов ввиду его простоты реализации и точности обнаружения известных вирусов. Тем не менее, данный метод обладает очевидными минусами – если вирус новый и сигнатура его неизвестна, антивирус "пропустит" его. Поэтому современные антивирусы используют также эвристические методы.

Эвристический метод представляет собой совокупность приблизительных методов обнаружения вирусов, основанных на тех или иных предположениях. Как правило, выделяют следующие эвристические методы:

  • поиск вирусов, похожих на известные(часто именно этот метод называют эвристическим). В принципе метод похож на сигнатурный, только в данном случае он более гибкий. Сигнатурный метод требует точного совпадения, здесь же файл исследуется на наличие модификаций известных сигнатур, то есть не обязательно полное совпадение. Это помогает обнаруживать гибриды вирусов и модификации уже известных вирусов;
  • аномальный метод– метод основан на отслеживании аномальных событий в системе и выделении основных вредоносных действий: удаления, запись в определенные области реестра, рассылка писем и пр. Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает себя в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения;
  • анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы. Анализаторы контрольных сумм, как и анализаторы аномального поведения, не используют в работе антивирусные базы и принимают решение о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Эвристические методы также обладают недостатками и достоинствами. К достоинствам можно отнести способность обнаруживать новые вирусы. То есть если вирус новый и его сигнатура неизвестна, антивирус с сигнатурным обнаружением "пропустит" его при проверке, а с эвристическим - возможно найдет. Из последнего предложения вытекает и основной недостаток эвристического метода – его вероятностный характер. То есть такой антивирус может найти вирус, не найти его или принять легитимный файл за вирус.

В современных антивирусных комплексах производители стараются совмещать сигнатурный метод и эвристические. Перспективным направлением в данной области является разработка антивирусов с искусственной иммунной системой – аналогом иммунной системы человека, которая может обнаруживать "инородные" тела.

В составе антивируса обязательно должны присутствовать следующие модули:

  • модуль обновления – доставляет обновленные базы сигнатур пользователю антивируса. Модуль обновления обращается к серверам производителя и скачивает обновленные антивирусные базы.
  • модуль планирования – предназначен для планирования действий, которые регулярно должен выполнять антивирус. Например, проверять компьютер на наличие вирусов и обновлять антивирусные базы. Пользователь может выбрать расписание выполнения данных действий.
  • модуль управления – предназначен для администраторов крупных сетей. Данные модули содержат интерфейс, позволяющий удаленно настраивать антивирусы на узлах сети, а также способы ограничения доступа локальных пользователей к настройкам антивируса.
  • модуль карантина – предназначен для изолирования подозрительных файлов в специальное место – карантин. Лечение или удаление подозрительного файла не всегда является возможным, особенно если учесть ложные срабатывания эвристического метода. В этих случаях файл помещается в карантин и не может выполнять какие-либо действия оттуда.

В больших организациях с разветвленной внутренней сетью и выходом в Интернет для защиты информации применяются антивирусные комплексы.

Антивирусное ядро - реализация механизма сигнатурного сканирования на основе имеющихся сигнатур вирусов и эвристического анализа.

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем.

Выделяют следующие типы антивирусных комплексов в зависимости от того, где они применяются:

  • антивирусный комплекс для защиты рабочих станций
  • антивирусный комплекс для защиты файловых серверов
  • антивирусный комплекс для защиты почтовых систем
  • антивирусный комплекс для защиты шлюзов

Антивирусный комплекс для защиты рабочих станций, как правило, состоит из следующих компонентов:

  • антивирусный сканер при доступе – проверяет файлы, к которым обращается ОС;
  • антивирусный сканер локальной почты – для проверки входящих и исходящих писем;
  • антивирусный сканер по требованию – проверяет указанные области дисков или файлы по запросу либо пользователя, либо в соответствии с установленным в модуле планирования расписанием.

Антивирусный комплекс для защиты почтовых системпредназначен для защиты почтового сервера и включает:

  • фильтр почтового потока - осуществляет проверку на наличие вирусов входящего и исходящего трафика сервера, на котором установлен комплекс;
  • сканер общих папок (баз данных) - осуществляет проверку на наличие вирусов баз данных и общих папок пользователей в режиме реального времени (в момент обращения к этим папкам или базам). Может составлять единое целое с фильтром почтового потока в зависимости от реализации технологии перехвата сообщений/обращений к папкам и передачи на проверку.
  • антивирусный сканер по требованию - осуществляет проверку на наличие вирусов почтовых ящиков пользователей и общих папок в случае использования таковых на почтовом сервере. Проверка осуществляется по требованию администратора антивирусной безопасности либо в фоновом режиме.

Антивирусный комплекс для защиты файловых серверов – предназначен для защиты сервера, на котором установлен. Обычно состоит из двух ярко выраженных компонентов:

  • антивирусного сканера при доступе - аналогичен сканеру при доступе для рабочей станции;
  • антивирусного сканера по требованию - аналогичен сканеру по требованию для рабочей станции.

Антивирусный комплекс для защиты шлюзов, как следует из названия, предназначен для проверки на вирусы данных, передаваемых через шлюз. Так как данные через шлюз передаются практически постоянно, на нем устанавливаются компоненты, работающие в непрерывном режиме:

  • сканер HTTP-потока — проверяет данные, передаваемые по протоколу HTTP;
  • сканер FTP-потока — проверяет данные, передаваемые по протоколу FTP;
  • сканер SMTP-потока — проверяет данные, передаваемые через шлюз по SMTP.

Обязательным компонентом всех рассмотренных комплексов является модуль обновления антивирусных баз.

Антивирусные средства широко представлены на рынке сегодня. При этом они обладают различными возможностями, ценой и требованиям к ресурсам. Для того чтобы правильно выбрать антивирусное ПО необходимо следить за публикуемой в сети статистикой тестирования антивирусных средств. Одним из первых тестировать антивирусные продукты начал британский журнал Virus Bulletin еще в далеком 1998 году. Основу теста составляет коллекция вредоносных программ WildList, которую можно при желании найти в Интернете. Для успешного прохождения теста антивирусной программе нужно выявить все вирусы из этого списка и продемонстрировать нулевой уровень ложных срабатываний на коллекции "чистых" файлов журнала. Тестирование проводится на различных операционных системах (Windows, Linux и т.п.), а успешно прошедшие тест продукты получают награду VB100%. Посмотреть список программ, прошедших последнюю проверку можно на странице http://www.virusbtn.com/vb100/archive/summary.

Помимо Virus Bulletin тестирование проводят такие независимые лаборатории как AV-Comparatives и AV-Tests. Только их "коллекция" вирусов может содержать до миллиона вредоносных программ. В Интернете можно найти отчеты об этих исследованиях, правда, на английском языке. Более того, на сайте Virus Bulletin можно сравнить производителей (вендоров) антивирусов между собой на следующей страницы http://www.virusbtn.com/vb100/archive/compare?nocache.

 

Межсетевой экран

Межсетевой экран(МЭ)– это программное или программно-аппаратное средство, которое разграничивает информационные потоки на границе защищаемой системы.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации.

Применение МЭ позволяет:

  • повысить безопасность объектов внутри системы за счет игнорирования неавторизированных запросов из внешней среды;
  • контролировать информационные потоки во внешнюю среду;
  • обеспечить регистрацию процессов информационного обмена.

В основе принятия решения МЭ о том, пропускать трафик или нет, лежит фильтрация по тем или иным правилам. Существует два метода настройки МЭ:

  • изначально "запретить всё", а затем определить то, что следует разрешить;
  • изначально "разрешить всё", а затем определить то, что следует запретить.

Очевидно, что первый вариант является более безопасным, так как запрещает всё и, в отличие от второго, не может пропустить нежелательный трафик.

В зависимости от принципов функционирования выделяют несколько классов МЭ. Основным признаком классификации является уровень модели ISO/OSI, на котором функционирует МЭ.

1. Фильтры пакетов

Простейший класс межсетевых экранов, работающих на сетевом и транспортном уровнях модели ISO/OSI. Фильтрация пакетов обычно осуществляется по следующим критериям:

  • IP-адрес источника;
  • IP-адрес получателя;
  • порт источника;
  • порт получателя;
  • специфические параметры заголовков сетевых пакетов.

Фильтрация реализуется путём сравнения перечисленных параметров заголовков сетевых пакетов с базой правил фильтрации.








Дата добавления: 2015-11-18; просмотров: 1214;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.008 сек.