17297

Методи та засоби антивірусного захисту

Лекция

Информатика, кибернетика и программирование

Лекція 7. Методи та засоби антивірусного захисту Загальні відомості Усі знають що для захисту від шкідливих програм потрібно використовувати антивіруси. Але в той же час нерідко можна почути про випадки проникнення вірусів на захищені антивірусом комп'ютери. У кожном...

Украинкский

2013-06-30

111 KB

7 чел.

Лекція 7. Методи та засоби антивірусного захисту

Загальні відомості

Усі знають, що для захисту від шкідливих програм потрібно використовувати антивіруси. Але в той же час нерідко можна почути про випадки проникнення вірусів на захищені антивірусом комп'ютери. У кожному конкретному випадку причини, по яких антивірус не впорався зі своїм завданням можуть бути різні, наприклад:

  •  Антивірус був відключений користувачем;
  •  Антивірусні бази були занадто старі;
  •  Були встановлені слабкі настроювання захисту;
  •  Вірус використовував технологію зараження, проти якої в антивірусу не було засобів захисту;
  •  Вірус потрапив на комп'ютер раніше, чим був установлений антивірус, і зміг знешкодити антивірусний засіб;
  •  Це був новий вірус, для якого ще не були випущені антивірусні бази.

Але в цілому можна зробити висновок, що просто наявності встановленого антивірусу може виявитися недостатньо для повноцінного захисту, і що потрібно використовувати додаткові методи. Ну а якщо антивірус на комп'ютері не встановлений, то без додаткових методів захисту й зовсім не обійтися.

Якщо глянути, на наведені причини пропуску вірусу антивірусом, можна побачити, що перші три причини пов'язані з неправильним використанням антивірусу, наступні три - з недоліками самого антивірусу й роботою виробника антивірусу. Відповідно й методи захисту діляться на два типи - організаційні й технічні

Організаційні методи

Правила роботи за комп'ютером

Найпростішим прикладом організаційних методів захисту від вірусів є розробка і дотримання певних правил обробки інформації. Причому правила теж можна умовно розділити на дві категорії:

  •  Правила обробки інформації;
  •  Правила використання програм.

До першої групи правил можуть відноситися, наприклад, такі:

  •  Не відкривати поштові повідомлення від незнайомих відправників;
  •  Перевіряти змінні накопичувачі (дискети, компакт-диски, flash-накопичувачі) на наявність вірусів перед використанням;
  •  Перевіряти на наявність вірусів файли, що завантажуються з Інтернет;
  •  Працюючи в Інтернет, не погоджуватися на непрошені пропозиції завантажити файл або встановити програму.

Загальним місцем усіх таких правил є два принципи:

  •  Використовувати тільки ті програми й файли, яким довіряєш, походження яких відомо;
  •  Усі дані, що надходять із зовнішніх джерел - із зовнішніх носіїв або по мережі - ретельно перевіряти.

Друга група правил, звичайно включає такі характерні пункти:

  •  Стежити за тим, щоб програми, що забезпечують захист, були постійно запущені, і щоб функції захисту були активовані;
  •  Регулярно обновляти антивірусні бази;
  •  Регулярно встановлювати виправлення операційної системи й часто використовуваних програм;
  •  Не міняти настроювання за замовчуванням програм, що забезпечують захист, без необхідності й повного розуміння суті змін.

Тут також можна простежити два загальні принципи:

  •  Використовувати найбільш актуальні версії захисних програм - оскільки способи проникнення й активації шкідливих програм постійно удосконалюються, розроблювачі захисних програм постійно додають нові технології захисту й поповнюють бази відомих шкідливих програм і атак. Отже, для найкращого захисту рекомендується використовувати самі останні версії;
  •  Не заважати антивірусним і іншим захисним програмам виконувати свої функції - дуже часто користувачі вважають, що захисні програми невиправдано сповільнюють роботу комп'ютера, і прагнуть за рахунок безпеки підвищити продуктивність. У результаті значно збільшуються шанси на зараження комп'ютера вірусом

Політика безпеки

На домашньому комп'ютері користувач сам встановлює собі правила, яких він вважає потрібним дотримуватися. У міру накопичення знань про роботу комп'ютера й про шкідливі програми, він може свідомо міняти настроювання захисту або приймати рішення про небезпеку тих або інших файлів і програм.

У великій організації усе складніше. Коли колектив об'єднує велика кількість співробітників, що виконують різні функції та мають різну спеціалізацію, складно очікувати від усіх розумної поведінки з погляду безпеки. Тому в кожній організації правила роботи з комп'ютером повинні бути загальними для всіх співробітників і затверджені офіційно. Звичайно, документ, що містить ці правила називається інструкцією користувача. Крім основних правил, перерахованих вище, він повинен обов'язково включати інформацію про те, куди повинен звертатися користувач при виникненні ситуації, що вимагає втручання фахівця.

При цьому інструкція користувача в більшості випадків містить тільки правила, що обмежують його дії. Правила використання програм в інструкцію можуть входити тільки в самому обмеженому виді. Оскільки більшість користувачів недостатньо компетентна в питаннях безпеки, вони не повинні, а часто й не можуть міняти настроювання засобів захисту і якось впливати на їхню роботу.

Але якщо не користувачі, то хтось інший все-таки повинен відповідати за настроювання засобів захисту й за керування ними. Звичайно це спеціально призначений співробітник або група співробітників, які зосереджені на виконанні одного завдання - забезпеченні безпечної роботи мережі.

Співробітникам, відповідальним за безпеку, доводиться встановлювати й настроювати захисні програми на великій кількості комп'ютерів. Якщо на кожному комп'ютері заново вирішувати, які настроювання безпеки повинні бути встановлені, нескладно припустити, що різні співробітники в різний час і на різних комп'ютерах установлять нехай і схожі, але трохи різні настроювання. У такій ситуації буде дуже складно оцінити, наскільки захищена організація в цілому, тому що ніхто не знає всіх установлених параметрів захисту.

Щоб уникнути такої ситуації в організаціях вибір параметрів захисту здійснюється не на розсуд відповідальних співробітників, а у відповідності зі спеціальним документом - політикою безпеки. У цьому документі написано, яку небезпеку несуть шкідливі програми і як від них потрібно захищатися. Зокрема, політика безпеки повинна давати відповіді на такі питання:

  •  Які комп'ютери повинні бути захищені антивірусами й іншими програмами;
  •  Які об'єкти повинні перевірятися антивірусом - чи потрібно перевіряти заархівовані файли, мережні диски, вхідні і вихідні поштові повідомлення і т.д.;
  •  Які дії повинен виконувати антивірус при виявленні зараженого об'єкта - оскільки звичайні користувачі не завжди можуть правильно вирішити, що робити з інфікованим файлом, антивірус повинен виконувати дії автоматично, не запитуючи користувача

Технічні методи

Оновлення

Як уже відомо, віруси нерідко проникають на комп'ютери через уразливості ("діри") в операційній системі або встановлених програмах. Причому найчастіше шкідливими програмами використовуються уразливості операційної системи Microsoft Windows, пакету додатків Microsoft Office, браузера Internet Explorer і поштової програми Outlook Express.

Для того, щоб не дати вірусам можливості використовувати уразливість, операційну систему й програмне забезпечення потрібно обновляти. Виробники, як правило, раніше авторів вірусів довідаються про "діри" у своїх програмах і завчасно випускають для них виправлення. Деякі компанії випускають виправлення час від часу, у міру виявлення уразливостей. Інші компанії випускають виправлення на регулярній основі, наприклад, компанія Microsoft випускає виправлення кожний другий вівторок місяця.

Для завантаження й установки оновлень у більшості програм і систем є вбудовані засоби. Наприклад, в Windows XP є спеціальний компонент Автоматичне оновлення, параметри роботи якого настроюються у вікні Властивості системи, доступному через панель керування

З допомогою цього компонента можна автоматично завантажувати виправлення для операційної системи Windows XP, а також для Internet Explorer, Outlook Express і деякі виправлення для Microsoft Office у міру їх появи.

У якості альтернативи компоненту Автоматичне оновлення можна використовувати спеціальну програму - Microsoft Baseline Security Analyzer, доступну для безкоштовного завантаження на сайті Microsoft. Ця програма може використовуватися не тільки на Windows XP, але й на інших операційних системах Microsoft Windows сімейства NT. Крім перевірки, чи всі випущені виправлення встановлені, програма також виявляє слабкі місця в настроюваннях операційної системи, такі як порожні або слабкі паролі, відкриті на запис папки загального доступу й ін. Подібні слабкі настроювання також можуть використовуватися вірусами для поширення, зокрема через папки загального доступу по локальній мережі.

Останнім часом шкідливі програми, що використовують уразливості в Windows і прикладних програмах, з'являються усе швидше й швидше після виходу виправлень до цих уразливостей. У деяких випадках шкідливі програми з'являються навіть раніше виправлень. Пам'ятаючи про цей, необхідно вчасно встановлювати виправлення й найкраще для цього використовувати засоби автоматичної установки.

Хоча більшість шкідливих програм використовують уразливості в продуктах Microsoft, існує чимало й таких, які експлуатують діри в програмах інших виробників. Особливо це стосується широко розповсюджених програм обміну повідомленнями, браузерів і поштових клієнтів. Тому мало просто встановити браузер, відмінний від Internet Explorer, його теж потрібно обновляти в міру виходу виправлення. Найчастіше, у подібних програмах є вбудовані засоби відновлення, але для підстрахування незайвим буде стежити за новинами на веб-сайтах, присвячених питання безпеки. Інформація про всі критичні уразливості й виправлення до них обов'язково попадає в новинну стрічку.

Брандмауери

Для того щоб віддалено скористатися уразливістю в програмному забезпеченні або операційній системі, потрібно встановити з'єднання й передати спеціально сформований пакет даних. Отже можна захиститися від таких спроб проникнення й зараження, шляхом заборони певних з'єднань. Завдання контролю з'єднань успішно вирішують програми-брандмауери.

Брандмауер - це програма, яка стежить за мережними з'єднаннями й ухвалює рішення щодо дозволу або заборони нових з'єднань на підставі заданого набору правил.

Правило брандмауера звичайно задається декількома атрибутами:

  •  Додаток - визначає програму до якої відноситься правило, так що однакові дії можуть бути дозволені одним програмам і заборонені іншим. Наприклад, одержувати й відправляти пошту розумно дозволити тільки програмі - поштовому клієнту;
  •  Протокол - визначає протокол, використовуваний для передачі даних. Звичайно можна вибрати між двома протоколами TCP і UDP;
  •  Адреси - визначає, для з'єднань із яких адрес або на які адреси буде діяти правило;
  •  Порт - задає номера портів, на які поширюється правило;
  •  Напрямок - дозволяє окремо контролювати вхідні й вихідні з'єднання;
  •  Дія - визначає реакцію на виявлення з'єднання, відповідного до інших параметрів. Реакція може бути - дозволити, заборонити або запитати в користувача.

Не обов'язково давати конкретні значення всім атрибутам правила. Можна створити правило, яке буде забороняти вхідні з'єднання на TCP порт 111 для всіх додатків, або дозволяти будь-які вихідні з'єднання для програми Internet Explorer.

Для боротьби з вірусами брандмауери можуть застосовуватися у двоякій якості. По-перше, брандмауер можна успішно використовувати для захисту від шкідливих програм, які поширюються безпосередньо по мережі, використовуючи уразливості в операційній системі. Наприклад, хробак Sasser атакує службу Windows LSASS через TCP порт 445. Значить для захисту від хробака досить створити в брандмауерові правило, що забороняє вхідні з'єднання на цей порт. Якщо мова йде про домашній комп'ютер, який використовує мережу тільки для виходу в Інтернет, такий спосіб захисту не буде мати побічних ефектів. В організації з локальною мережею, де порт 445 використовується для роботи Windows-мережі, можуть виникнути незручності.

Брандмауер можна використовувати й для захисту від атак невідомих вірусів. У випадку домашнього комп'ютера, що використовує мережу тільки для доступу в Інтернет, можна заборонити взагалі всі вхідні з'єднання, і тим самим убезпечити себе від будь-яких атак ззовні.

Другий аспект застосування брандмауерів для захисту від шкідливих програм полягає в контролі вихідних з'єднань. Багато троянських програм, та й хробаки, після виконання шкідливої функції прагнути подати сигнал авторові вірусу. Наприклад, троянська програма, що краде паролі, буде намагатися переслати всі знайдені паролі на певний сайт або поштову адресу. Для того щоб перешкодити цьому, можна настроїти брандмауер на блокування всіх невідомих з'єднань: дозволити тільки з'єднання від довірених програм, таких як використовуваний браузер, поштовий клієнт, програма миттєвого обміну повідомлень, а всі інші з'єднання заборонити. У такому випадку, шкідлива програма, навіть потрапивши на комп'ютер непоміченою, не зможе заподіяти реального збитку.

Деякі шкідливі програми не намагаються активно пересилати дані, а пасивно очікують з'єднання на якомусь із портів. Якщо вхідні з'єднання дозволені, то автор шкідливої програми зможе через якийсь час звернутися на цей порт і забрати потрібну йому інформацію або ж передати шкідливій програмі нові команди. Щоб цього не відбулося, брандмауер повинен бути настроєний на заборону вхідних з'єднань або на всі порти взагалі, або на всі, крім фіксованого переліку портів, використовуваних відомими програмами або операційною системою.

З популярних операційних систем, вбудований брандмауер є в Windows XP. Цей брандмауер має обмежені можливості. Наприклад, він дозволяє задавати правила або для програми не враховуючи порти й протоколи, або для портів не роблячи різниці між програмами. Для простих випадків цього досить і мінімальний захист організувати можна, але часто працювати із цим брандмауером виявляється не дуже зручно.

Для більш зручної роботи, а також на тих операційних системах, де вбудованого брандмауера немає, використовуються програми-брандмауери інших виробників, наприклад Kaspersky Anti-Hacker, Agnitum Outpost Firewall, Zonealarm і інші.

Останнім часом широко поширені універсальні захисні програми, що поєднують можливості брандмауера й антивірусу. Наприклад, Kaspersky Internet Security, Norton Internet Security, Mcafee Internet Security та ін.

Методи антивірусного захисту

Антивірусні програми - це програми, основним завданням яких є захист саме від вірусів, або точніше, від шкідливих програм.

Методи й принципи захисту теоретично не мають особливого значення, головне щоб вони були спрямовані на боротьбу зі шкідливими програмами. Але на практиці справа трохи інша: практично будь-яка антивірусна програма поєднує в різних пропорціях усі технології й методи захисту від вірусів, створені до сьогоднішнього дня.

Із усіх методів антивірусного захисту можна виділити дві основні групи:

  •  Сигнатурні методи - точні методи виявлення вірусів, засновані на порівнянні файлу з відомими зразками вірусів;
  •  Евристичні методи - приблизні методи виявлення, які дозволяють із певною ймовірністю припустити, що файл заражений.

Сигнатурний аналіз

Слово сигнатура в цьому випадку є калькою на англійське signature, що означає "підпис" або ж у переносному значенні "характерна риса, щось ідентифікуюче". Власне, цим усе сказане. Сигнатурний аналіз полягає у виявленні характерних ідентифікуючих рис кожного вірусу й пошуку вірусів шляхом порівняння файлів з виявленими рисами.

Сигнатурою вірусу буде вважатися сукупність рис, що дозволяють однозначно ідентифікувати наявність вірусу у файлі (включаючи випадки, коли файл цілком є вірусом). Усі разом сигнатури відомих вірусів становлять антивірусну базу.

Завдання виділення сигнатур, як правило, вирішують люди - експерти в області комп'ютерної вірусології, здатні виділити код вірусу з коду програми й сформулювати його характерні риси у формі, найбільш зручної для пошуку. Як правило - тому що в найбільш простих випадках можуть застосовуватися спеціальні автоматизовані засоби виділення сигнатур. Наприклад, у випадку нескладних за структурою троянів або хробаків, які не заражають інші програми, а цілком є шкідливими програмами.

Практично в кожній компанії, що випускає антивіруси, є своя група експертів, що виконує аналіз нових вірусів, що й поповнює антивірусну базу новими сигнатурами. Із цієї причини антивірусні бази в різних антивірусах відрізняються. Проте, між антивірусними компаніями існує домовленість про обмін зразками вірусів, а значить рано або пізно сигнатура нового вірусу попадає в антивірусні бази практично всіх антивірусів. Кращим же антивірусом буде той, для якого сигнатура нового вірусу була випущена раніше всіх.

Одна з розповсюджених оман щодо сигнатур полягає в тому, кожна сигнатура відповідає рівно одному вірусу або шкідливій програмі. І як наслідок, антивірусна база з більшою кількістю сигнатур дозволяє виявляти більше вірусів. Насправді це не так. Дуже часто для виявлення сімейства схожих вірусів використовується одна сигнатура, і тому вважати, що кількість сигнатур дорівнює кількості вірусів, що виявляються, уже не можна.

Співвідношення кількості сигнатур і кількості відомих вірусів для кожної антивірусної бази своє й цілком може виявитися, що база з меншою кількістю сигнатур у дійсності містить інформацію про більшу кількість вірусів. Якщо ж згадати, що антивірусні компанії обмінюються зразками вірусів, можна з високою долею впевненості вважати, що антивірусні бази найбільш відомих антивірусів еквівалентні.

Важлива додаткова властивість сигнатур - точне й гарантоване визначення типу вірусу. Ця властивість дозволяє занести в базу не тільки самі сигнатури, але й способи лікування вірусу. Якби сигнатурний аналіз давав тільки відповідь на запитання, є вірус чи ні, але не давав відповіді, що це за вірус, мабуть, лікування було б не можливо - занадто більшим був би ризик зробити не ті дії й замість лікування отримати додаткові втрати інформації.

Інша важлива, але вже негативна властивість - для одержання сигнатури необхідно мати зразок вірусу. Отже, сигнатурний метод непридатний для захисту від нових вірусів, тому що доти, поки вірус не потрапив на аналіз до експертів, створити його сигнатуру неможливо. Саме тому усі найбільш великі епідемії викликаються новими вірусами. З моменту появи вірусу в мережі Інтернет до випуску перших сигнатур звичайно проходить кілька годин, і всей цей час вірус здатний заражати комп'ютери майже безперешкодно. Майже - тому що в захисті від нових вірусів допомагають додаткові засоби захисту, розглянуті раніше, а також евристичні методи, використовувані в антивірусних програмах.

Евристичний аналіз

Слово "евристика" походить від грецького дієслова "знаходити". Суть евристичних методів полягає в тому, що рішення проблеми ґрунтується на деяких правдоподібних припущеннях, а не на строгих виводах з наявних фактів і передумов. Оскільки таке визначення звучить досить складно й незрозуміло, простіше пояснити на прикладах різних евристичних методів

Пошук вірусів, схожих на відомі

Якщо сигнатурний метод заснований на виділенні характерних ознак вірусу й пошуку цих ознак у файлах, що перевіряються, то евристичний аналіз ґрунтується на (досить правдоподібному) припущенні, що нові віруси часто виявляються схожими на які-небудь із уже відомих. Постфактум таке припущення виправдовується наявністю в антивірусних базах сигнатур для визначення не одного, а відразу декількох вірусів. Заснований на такому припущенні евристичний метод полягає в пошуку файлів, які не повністю, але дуже близько відповідають сигнатурам відомих вірусів.

Позитивним ефектом від використання цього методу є можливість виявити нові віруси ще до того, як для них будуть виділені сигнатури. Негативні сторони:

  •  Імовірність помилково визначити наявність у файлі вірусу, коли насправді файл чистий - такі події називаються неправильними спрацьовуваннями;
  •  Неможливість лікування - і в силу можливих неправильних спрацьовувань, і в силу можливого неточного визначення типу вірусу, спроба лікування може привести до більших втрат інформації, чим сам вірус, а це неприпустимо;
  •  Низька ефективність - проти дійсно новаторських вірусів, що викликають найбільш масштабні епідемії, цей вид евристичного аналізу малопридатний.

Пошук вірусів, що виконують підозрілі дії

Інший метод, заснований на евристиці, виходить із припущення, що шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод заснований на виділенні основних шкідливих дій, таких як, наприклад:

  •  Видалення файлу;
  •  Запис у файл;
  •  Запис у певні області системного реєстру;
  •  Відкриття порту на прослуховування;
  •  Перехоплення даних, що вводяться із клавіатури;
  •  Розсилання листів;
  •  І ін.

Зрозуміло, що виконання кожної такої дії окремо не є приводом вважати програму шкідливою. Але якщо програма послідовно виконує кілька таких дій, наприклад, записує запуск себе ж у ключ автозапуску системного реєстру, перехоплює дані, що вводяться із клавіатури й з певною частотою пересилає ці дані на якусь адресу в Інтернет, значить ця програма щонайменше підозріла. Заснований на цьому принципі евристичний аналізатор повинен постійно стежити за діями, які виконують програми.

Перевагою описаного методу є можливість виявляти невідомі раніше шкідливі програми, навіть якщо вони не дуже схожі на вже відомі. Наприклад, нова шкідлива програма може використовувати для проникнення на комп'ютер нову уразливість, але після цього починає виконувати вже звичні шкідливі дії. Таку програму може пропустити евристичний аналізатор першого типу, але цілком може виявити аналізатор другого типу.

Негативні риси ті ж, що й раніше:

  •  Неправильні спрацьовування;
  •  Неможливість лікування;
  •  Невисока ефективність.

Режими роботи антивірусів

Надійність антивірусного захисту забезпечується не тільки здатністю відбивати будь-які вірусні атаки. Інша не менш важлива властивість захисту - її безперервність. Це означає, що антивірус повинен починати роботу по можливості до того, як віруси зможуть заразити тільки що включений комп'ютер і вимикатися тільки після завершення роботи всіх програм. Однак з іншого боку, користувач повинен мати можливість у будь-який момент запросити максимум ресурсів комп'ютера для рішення свого, прикладного завдання й антивірусний захист не повинен йому перешкодити це зробити. Оптимальний вихід у цій ситуації - це введення двох різних режимів роботи антивірусних засобів: один з невеликою функціональністю, але працюючий постійно, і другий - ретельна й більш ресурсномістка перевірка на наявність вірусів по запиту користувача. Такий поділ прийнятий у більшості сучасних антивірусів.

Перевірка в режимі реального часу

Перевірка в режимі реального часу, або постійна перевірка, забезпечує безперервність роботи антивірусного захисту. Це реалізується за допомогою обов'язкової перевірки всіх дій, здійснюваних іншими програмами й самим користувачем, на предмет шкідливості, незалежно від їхнього вихідного розташування - будь це свій жорсткий диск, зовнішні носії інформації, інші мережні ресурси або власна оперативна пам'ять. Також перевірці зазнають усі непрямі дії через треті програми.

Вимога до невтручання здійснюється за допомогою завдання персональних настроювань, що найбільш точно відображають специфіку конкретного комп'ютера. У більшості випадків, наприклад, можна безболісно відключити з перевірки файли ряду графічних форматів, текстові файли, архіви (оскільки при розпакуванні всі файли, що містяться в архіві, однаково будуть перевірені) пошту, що виходить.

Постійна перевірка захисту системи від зараження необхідна навіть у випадку, якщо шкідливий код яким-небудь способом уже проникнув на комп'ютер - наприклад, ще до установки антивірусу. Отже, цей режим повинен бути включений з моменту початку завантаження операційної системи й вимикатися тільки в останню чергу.

Перевірка за вимогою

У деяких випадках наявності постійно працюючої перевірки в режимі реального часу може бути недостатньо. Можлива ситуація, коли на комп'ютер був скопійований заражений файл, виключений з постійної перевірки через великі розміри й, отже, вірус у ньому виявлений не був. Якщо цей файл на розглянутому комп'ютері запускатися не буде, то вірус може залишитися непоміченим і виявити себе тільки після пересилання його на інший комп'ютер, що може сильно зашкодити репутації відправника - розповсюджувача вірусів. Для виключення подібних випадків використовується другий режим роботи антивірусу - перевірка за вимогою.

Для такого режиму звичайно передбачається, що користувач особисто вкаже які файли, каталоги або області диска необхідно перевірити й час, коли потрібно зробити таку перевірку - у вигляді розкладу або разового запуску вручну. Звичайно рекомендується перевіряти всі чужі зовнішні носії інформації, такі як дискети, компакт - диски, flash-накопичувачі щоразу перед читанням інформації з них, а також увесь свій жорсткий диск не рідше одного разу в тиждень.

Антивірусні комплекси

Антивірусний комплекс - набір антивірусів, що використовують однакове антивірусне ядро або ядра, призначений для вирішення практичних проблем по забезпеченню антивірусної безпеки комп'ютерних систем. В антивірусний комплекс також в обов'язковому порядку входять засоби відновлення антивірусних баз

Усяка локальна мережа, як правило, містить комп'ютери двох типів - робочі станції, за якими безпосередньо сидять люди, і мережні сервери, використовувані для службових цілей. Відповідно до характеру виконуваних функцій сервера діляться на:

  •  Мережні, які забезпечують централізоване сховище інформації: файлові сервера, сервера додатків і інші;
  •  Поштові, на яких працює програма, що служить для передачі електронних повідомлень від одного комп'ютера до іншого;
  •  Шлюзи, відповідальні за передачу інформації з однієї мережі в іншу. Наприклад, шлюз необхідний для з'єднання локальної мережі з Інтернет.

Отже, виділяють чотири види антивірусних комплексів - для захисту робочих станцій, файлових серверів, поштових систем і шлюзів.

Робочі станції - це комп'ютери локальної мережі, за якими безпосередньо працюють користувачі. Головним завданням комплексу для захисту робочих станцій є забезпечення безпечної роботи на розглянутому комп'ютері - для цього необхідна перевірка в режимі реального часу, перевірка за вимогою й перевірка локальної електронної пошти.

Мережні сервера - це комп'ютери, спеціально виділені для зберігання або обробки інформації. Вони звичайно не використовуються для безпосередньої роботи за ними й тому на відміну від робочих станцій перевірка електронної пошти на наявність вірусів отут не потрібна. Отже, антивірусний комплекс для файлових серверів повинен робити перевірку в режимі реального часу й перевірку за вимогою.

Антивірусний комплекс для захисту поштових систем призначений для перевірки всіх електронних листів на наявність у них вірусів. Тобто перевіряти інші файли, розміщені на цьому комп'ютері, він не зобов'язаний ( для цього існує комплекс для захисту мережних серверів). Тому до нього пред'являються вимоги по наявності власне програми для перевірки всієї прийнятої, та поштової кореспонденції, що відправляється, в режимі реального часу, і додатково механізму перевірки за вимогою поштових баз даних.

Аналогічно у відповідності зі своїм призначенням, антивірусний комплекс для шлюзу здійснює тільки перевірку даних, що проходять через шлюз.

Оскільки всі перераховані вище комплекси використовують сигнатурний аналіз, то в обов'язковому порядку в них повинен входити засіб для підтримки антивірусних баз в актуальному стані, тобто механізм їх відновлення. Додатково часто виявляється корисним модуль для віддаленого централізованого керування, який дозволяє системному адміністраторові зі свого робочого місця настроювати параметри роботи антивірусу, запускати перевірку за вимогою й відновлення антивірусних баз.

Антивірус для домашнього комп'ютера часто відрізняється особливою простотою в настроюваннях і інтерфейсі й не вимагає від користувача особливих знань. Це ж можна сказати й про захист мобільних користувачів. Однак по всіх інших параметрах, крім відсутності можливості централізовано й віддалено керуватися системним адміністратором, такі програми належать до антивірусного комплексу для захисту робочих станцій.

Резюме

  1.  Серед шкідливих програм виділяють чотири основні типи: 
    •  Віруси
    •  Хробаки
    •  Трояны
    •  Інші: умовно небезпечні програми (riskware, adware, pornware), шпигунські програми (spyware), хакерські утиліти й злі жарти

Кожний з перерахованих вище типів шкідливих програм відрізняється від інших методом поширення, середовищем проживання й наносимым шкодою.

  1.  Для запобігання проникнення в систему шкідливої програми необхідно дотримувати наступних правил: 
    •  Вчасно встановлювати останні відновлення й латки використовуваного програмного забезпечення, особливо - операційної системи сімейства Microsoft Windows
    •  Перед читанням даних з будь-якого змінного носія (дискета, компакт диск, flash-пам'ять і ін.) обов'язково проводити перевірку на наявність на ньому вірусів
    •  Не завантажувати з Інтернет файли невідомого походження, тим більше - програми, і не встановлювати їх. Особливо це стосується сайтів, що не заслуговують довіри
    •  Не відкривати електронні листи, отримані від незнайомих людей або, що мають підозрілу тему повідомлення
    •  Якщо на комп'ютері встановлений антивірус - ніколи не виключати постійну перевірку, підтримувати актуальність антивірусних баз (завантажуючи відновлення не рідше одного разу в три дні), щотижня проводити ретельну перевірку всього диска на наявність на ньому вірусів
    •  Використання брандмауера, нехай навіть вбудованого в операційну систему, також украй бажане
    •  При інтенсивному обміні електронними повідомленнями або звичці залишати свою електронну адресу на публічних сайтах, рекомендується встановити й використовувати антиспамовую програму
    •  Самостійно навіть не намагатися створювати шкідливі програми або свідомо брати участь у їхньому поширенні, оскільки в Кримінальному Кодексі Російської Федерації є ряд статей, що передбачають покарання за таку діяльність, аж до позбавлення волі на строк до п'яти років, а сучасні технології дозволяють досить швидко обчислити автора або розповсюджувача
  2.   При виявленні на комп'ютері вірусів необхідно звернутися до фахівців. У випадку домашнього комп'ютера можна спробувати самостійно за допомогою антивірусу знайти, вилікувати або знищити заражений файл або файли, а якщо така програма не встановлена - звернутися в найближчу антивірусну компанію (знайти адресу завжди можна за допомогою телефонної довідки або шляхом пошуку в Інтернет)
  3.  Установка й правильне настроювання антивірусного програмного забезпечення - це самий надійний спосіб забезпечити захист проти шкідливих програм. У своїй роботі антивірус використовує наступні технології:
    •  Сигнатурний аналіз
    •  Евристичний аналіз

При цьому сигнатурний аналіз вимагає наявності самих останніх антивірусних баз - списку сигнатур вірусів.

Для забезпечення ефективної, але в той же час ненав'язливого антивірусного захисту використовуються два основні режиму роботи антивірусного програмного забезпечення:

  •  Перевірка в режимі реального часу або постійний захист
    •  Перевірка за вимогою

У першому випадку забезпечується захист від зараження системи, у другому - від проникнення шкідливих програм.

  1.   Серед усіх антивірусних засобів виділяють три основні групи - призначені для домашнього використання, для комплексного захисту локальної мережі й для установки на мобільні пристрої. При цьому програми для захисту мережі діляться на чотири антивірусні комплекси відповідно до функцій комп'ютерів, на які вони встановлюються. Це:
    •  Антивірусний комплекс для захисту робочих станцій
    •  Антивірусний комплекс для захисту мережних серверів
    •  Антивірусний комплекс для захисту поштових систем
    •  Антивірусний комплекс для захисту шлюзів

Комплексний антивірусний захист типової мережі містить три рівні:

  •  Рівень захисту робочих станцій і мережних серверів (використовуються комплекси для захисту робочих станцій і мережних серверів) - покриває всі комп'ютери мережі, незалежно від виконуваних ними функцій ( у тому числі поштові сервера й шлюзи)
    •  Рівень захисту поштових систем (комплекс для захисту поштових систем) - інтегрується з поштовою системою й перевіряє на віруси всю вхідну й вихідну з локальної мережі кореспонденцію
    •  Рівень захисту шлюзів (комплекс для захисту шлюзів) - блокує проникнення вірусів через HTTP-, FTP- і Smtp-Трафік, що зв'язує локальну мережу із зовнішнім миром (звичайно з мережею Інтернет)


 

А также другие работы, которые могут Вас заинтересовать

66171. НАКОПЛЕНИЕ СРЕДСТВ И ИНВЕСТИРОВАНИЕ ПРОЕКТОВ В MS EXCEL 182.5 KB
  Сравнить доходность размещения средств предприятия положенных в банк на один год если проценты начисляются m раз в год исходя из процентной ставки j = 95 годовых рис.2 Выясните при каком значении j доходность при капитализации m = 12 составит 15.
66172. РАСЧЕТ АКТИВОВ И ПАССИВОВ БАЛАНСА В ЭЛЕКТРОННЫХ ТАБЛИЦАХ 154 KB
  Изучение технологии расчета активов и пассивов баланса в электронных таблицах. Создать таблицу активов аналитического баланса. В структуре активов баланса выделяются две группы: оборотные активы запасы сосредоточенные в сырье незавершенном...
66174. Правила работы в микробиологической лаборатории. Иммерсионный микроскоп. Шаровидные бактерии. Простые методы окраски 108 KB
  Знание морфологии бактерий имеет большое значение для микроскопического метода лабораторной диагностики инфекционных заболеваний. Изучение морфологии бактерий осуществляется при микроскопии окрашенных микроскопических препаратов.
66175. Основные свойства вирусов и современные методы диагностики вирусных заболеваний 255.5 KB
  Вирусы - мельчайшие микробы («фильтрующиеся агенты»), не имеющие клеточного строения, белоксинтезирующей системы, содержащие один тип нуклеиновой кислоты (только ДНК или РНК). Вирусы, являясь облигатными внутриклеточными паразитами, репродуцируются в цитоплазме или ядре клетки.
66176. З’єднання однопроволочних проводів 2.4 MB
  Мета: Виконати з’єднання однопроволочних проводів різними способами та визначити переваги та недоліки запропонованих способів. Виконати з’єднання однопроволочних проводів за наступними схемами.
66177. Вивчення та заповнення форм технічної документації 181.5 KB
  В господарстві необхідно мати таку документацію: Журнал обліку електрообладнання Журнал обліку освітлювальних приладів і внутрішніх проводок Графік технічних обслуговувань на квартал Графік поточних ремонтів на рік...
66179. Лабораторная диагностика гриппа и ОРЗ 89 KB
  Выявлены в последние годы новые свойства возбудителя гриппа способность обмениваться генетической информацией с возбудителями гриппа животных и птиц длительное время сохраняться в организме человека...