Автор работы: Пользователь скрыл имя, 28 Января 2011 в 23:23, реферат
Антивирусные программы - это программы, основной задачей которых является защита именно от вирусов, или точнее, от вредоносных программ.
- Настройке параметров
антивирусных модулей.
- Настройке обновлений.
- Настройке периодического
запуска обновления и проверки.
- Запуску модулей
вручную, по требованию
- Отчетам о
проверке.
- Другим функциям,
в зависимости от конкретного
антивируса.
Основные требования
к такому модулю - удобный доступ
к настройкам, интуитивная понятность,
подробная справочная система, описывающая
каждую настройку, возможность защитить
настройки от изменений, если за компьютером
работает несколько человек. Подобным
модулем управления обладают все антивирусы
для домашнего использования. Антивирусы
для защиты компьютеров в крупных сетях
должны обладать несколько иными свойствами.
Уже не раз говорилось,
что в большой организации за настройку
и правильное функционирование антивирусов
отвечают не пользователи компьютеров,
а специальные сотрудники. Если компьютеров
в организации много, то каждому ответственному
за безопасность сотруднику придется
постоянно бегать от одного компьютера
к другому, проверяя правильность настройки
и просматривая историю обнаруженных
заражений. Это очень неэффективный подход
к обслуживанию системы безопасности.
Поэтому, чтобы
упростить работу администраторов
антивирусной безопасности, антивирусы,
которые используются для защиты больших
сетей, оборудованы специальным модулем
управления. Основные свойства этого модуля
управления:
· Поддержка
удаленного управления и настройки
- администратор безопасности может
запускать и останавливать антивирусные
модули, а также менять их настройки по
сети, не вставая со своего места.
· Защита настроек
от изменений - модуль управления не позволяет
локальному пользователю изменять настройки
или останавливать антивирус, чтобы
пользователь не мог ослабить антивирусную
защиту организации.
Это далеко не все
требования к управлению антивирусной
защитой в крупной организации,
а только основные принципы. Подробнее
об особенностях антивирусной защиты
сетей и требованиях к модулям
управления будет рассказано позже
в соответствующем разделе.
Карантин
Среди прочих вспомогательных
средств во многих антивирусах есть
специальные технологии, которые
защищают от возможной потери данных
в результате действий антивируса.
Например, легко
представить ситуацию, при которой
файл детектируется как возможно зараженный
эвристическим анализатором и удаляется
согласно настройкам антивируса. Однако
эвристический анализатор никогда не
дает стопроцентной гарантии того, что
файл действительно заражен, а значит
с определенной вероятностью антивирус
мог удалить незараженный файл.
Или же антивирус
обнаруживает важный документ зараженный
вирусом и пытается согласно настройкам
выполнить лечение, но по каким-то причинам
происходит сбой и вместе с вылеченным
вирусом теряется важная информация.
Разумеется, от
таких случаев желательно застраховаться.
Проще всего это сделать, если
перед лечением или удалением
файлов сохранить их резервные копии,
тогда если окажется, что файл был
удален ошибочно или была потеряна
важная информация, всегда можно будет
выполнить восстановление из резервной
копии.
Тестирование
работы антивируса
После того как
антивирус установлен и настроен,
каждый пользователь хочет убедиться,
что он все сделал правильно и
антивирусная защита работает. Но как
это проверить? Первое, что приходит
в голову: взять где-нибудь зараженный
файл и посмотреть поймает ли его антивирус.
Но, как и у многих простых решений, у этого
есть ряд очевидных недостатков:
· Зараженный файл
не так-то просто найти. Даже если воспользоваться
поиском в Интернете и найти какие-то файлы,
нет никакой гарантии, что они действительно
заражены. Т. е. если антивирус обнаружит
в них вирусы, значит они заражены, а антивирус
работает, но если не обнаружит, то неизвестно
- антивирус не работает, или файлы не заражены
· Использовать
для тестирования настоящие вирусы
крайне опасно. Если пользователь все
же ошибся и неправильно выполнил
установку или настройку
Значит нужен
такой способ тестирования антивирусов,
который был бы безопасным, но давал
четкий ответ на вопрос, корректно
ли работает антивирус. Понимая важность
проблемы, организация EICAR при участии
антивирусных компаний создала специальный
тестовый файл, который был назван по имени
организации - eicar.com.
Eicar.com - это исполняемый
файл в COM-формате, который
Получить eicar.com
можно на сайте организации EICAR по
адресу http://www.eicar.org/anti_
сохранить файл
под именем eicar.com, и все - тестовый
файл готов.
Рис. 1 - Тестовый
файл eicar.com
Созданный описанным
способом файл eicar.com ничем не отличается
от доступного на сайте организации EICAR,
можно загрузить и убедиться самому. Его
можно пытаться скопировать на защищенную
машину, запускать на ней или же просто
проверять, чтобы проверить работу антивируса
в разных режимах.
Тестирование
антивируса при помощи eicar.com тоже не
идеально. Концепция тестового файла
и сам тестовый файл, разрабатывались
в начале 90-х годов, когда едва
ли не единственным типом вредоносных
программ были файловые вирусы. Поэтому
eicar.com в первую очередь позволяет протестировать,
как антивирус справляется с файловыми
вирусами и близкими по структуре вредоносными
программами - большинством троянов, некоторыми
червями.
Однако сейчас
разнообразие вредоносных программ
гораздо больше. И соответственно больше
антивирусных модулей, предназначенных
для защиты от различных угроз. Например,
во многих антивирусах имеется специальный
модуль защиты от скрипт-вирусов, а поскольку
eicar.com скрипт-вирусом не является, он непригоден
для тестирования таких модулей. Точно
так же eicar.com непригоден для тестирования
специальных модулей для защиты от макровирусов.
К сожалению, на сегодняшний день новых
способов тестирования антивирусных средств,
которые поддерживались бы всеми производителями
антивирусов нет, и приходится полагаться
на старые способы.
2 Классификация
антивирусов
Общие сведения
Обязательное
свойство любой качественной защиты
- это способность не мешать выполнению
основных функций защищаемой системы,
предмета или человека. Такая защита
должна обеспечивать безопасность, не
вмешиваясь в деятельность защищаемого
объекта, по возможности быть невидимой,
ее влияние - сведено к минимуму. Однако
от этого ни в коем случае не должна страдать
надежность.
В случае антивирусной
защиты такой баланс обычно достигается
путем введения двух различных режимов
работы антивирусных программ с возможностью
самостоятельной подробной настройки
пользователем параметров каждого из
них, а также разработки отдельных программных
комплексов для компьютеров, выполняющих
разные функции.
Режимы работы
антивирусов
Надежность антивирусной
защиты обеспечивается не только способностью
отражать любые вирусные атаки. Другое
не менее важное свойство защиты - ее
непрерывность. Это означает, что
антивирус должен начинать работу по
возможности до того, как вирусы смогут
заразить только что включенный компьютер
и выключаться только после завершения
работы всех программ. Однако с другой
стороны, пользователь должен иметь возможность
в любой момент запросить максимум ресурсов
компьютера для решения своей, прикладной
задачи и антивирусная защита не должна
ему помешать это сделать. Оптимальный
выход в этой ситуации - это введение двух
различных режимов работы антивирусных
средств: один с небольшой функциональностью,
но работающий постоянно, и второй - тщательная
и более ресурсоемкая проверка на наличие
вирусов по запросу пользователя. Такое
разделение принято в большинстве современных
антивирусов.
Проверка в
режиме реального времени
Проверка в
режиме реального времени, или постоянная
проверка, обеспечивает непрерывность
работы антивирусной защиты. Это реализуется
с помощью обязательной проверки всех
действий, совершаемых другими программами
и самим пользователем, на предмет вредоносности,
вне зависимости от их исходного расположения
- будь это свой жесткий диск, внешние носители
информации, другие сетевые ресурсы или
собственная оперативная память. Также
проверке подвергаются все косвенные
действия через третьи программы.
Требование к
невмешательству осуществляется с
помощью задания персональных настроек,
наиболее точно отражающих специфику
конкретного компьютера. В большинстве
случаев, например, можно безболезненно
отключить из проверки файлы ряда графических
форматов, текстовые файлы, архивы (поскольку
при распаковке все содержащиеся в архиве
файлы все равно будут проверены), исходящую
почту.
Постоянная проверка
защиты системы от заражения необходима
даже в случае, если вредоносный
код каким-либо способом уже проник
на компьютер - например, еще до установки
антивируса. Следовательно, этот режим
должен быть включен с момента начала
загрузки операционной системы и выключаться
только в последнюю очередь.
Проверка по
требованию
В некоторых
случаях наличия постоянно
Для такого режима обычно предполагается, что пользователь лично укажет какие файлы, каталоги или области диска необходимо проверить и время, когда нужно произвести такую проверку - в виде расписания или разового запуска вручную. Обычно рекомендуется проверять все чужие внешние носители информации, такие как дискеты, компакт диски, flash-накопители каждый раз перед чтением информации с них, а также весь свой жесткий диск не реже одного раза в неделю.