ПРАКТИЧЕСКАЯ РАБОТА №10

Тема:                   Антивирусные программные комплексы

Цель:         формирование умений работы в антивирусных программах и построения системы антивирусной защиты корпоративной сети.

Оборудование: персональный компьютер, антивирусный программный комплекс, электронный тест.

Время выполнения: 2 часа

Теоретический материал

Компьютерный вирус – это программный код, встроенный в другую программу, или в документ, или в определенные области носителя данных и предназначенный для несанкционированных действий на компьютере.

1.     Основные типы компьютерных вирусов (табл. 1):

Таблица 1

Основные типы компьютерных вирусов

2. Этапы действия вируса:

Размножение – вирусный код может воспроизводить себя в теле других программ.

Вирусная атака – после создания достаточного числа копий программный вирус начинает осуществлять разрушение: нарушение работы программ и ОС, удаление информации на жестком диске, самые разрушительные вирусы вызывают форматирование жесткого диска. Некоторые вирусы могут уничтожать данные, в этом случае требуется замена микросхемы (хотя считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение ПК).

3. Основными признаками вирусного заражения являются следующие:

-                       замедление работы программ;

-                       увеличение размеров файлов (особенно выполняемых);

-                       появление новых файлов, не существовавших ранее;

-                       уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы);

-                       внезапно возникающие видео- и звуковые эффекты.

4. Защита от компьютерных вирусов

Существуют три рубежа защиты:

-                       предотвращение поступления вирусов;

-                       предотвращение вирусной атаки, если вирус поступил на ПК;

-                       предотвращение разрушительных последствий, если атака произошла.

5. Методы реализации защиты

-                       Программные

-                       Аппаратные

-                       Организационные

6. Средства антивирусной защиты:

·  Основное средство – резервное копирование наиболее ценных данных. В случае утраты информации жесткие диски форматируют, устанавливают ОС с дистрибутивного CD-диска и все необходимые программы, а данные – с резервного носителя (который должен храниться отдельно от ПК). Все регистрационные и парольные данные для доступа в Интернет рекомендуется хранить не на ПК, а в служебном дневнике в сейфе.

·  Вспомогательные средства – это антивирусные программы и аппаратные средства.

-                        Аппаратное средство: отключение перемычки на материнской плате не позволит осуществить стирание микросхемы BIOS ни вирусу, ни злоумышленнику, ни неаккуратному пользователю.

-                        Антивирусная программа сравнивает коды программ с известными ей вирусами, которые хранятся в ее базе данных. Обновление базы – 2 раза в месяц (не реже 1 раза в 3 месяца).

7. Типы антивирусных программ

При выявлении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздей­ствия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

удаление вирусов;

восстановление (при необходимости) файлов, областей памяти.

Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредных действий. Восстановление информации без исполь­зования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также если вредные действия уже начались и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппарат­но-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с ви­русами, которые подразделяются на методы обнаружения и уда­ления вирусов.

К методам обнаружения вирусов относятся:

-       сканирование;

-       обнаружение изменений;

-       эвристический анализ;

-       использование резидентных сторожей;

-       вакцинация программ;

-       применение аппаратно-программных антивирусных средств.

По назначению выделяют следующие виды антивирусных программ:

-       сканеры;

-       ревизоры;

-       резидентные мониторы;

-       иммунизаторы.

Сканирование — один из самых простых методов обнаружения вирусов. Оно осуществляется программой-сканером, которая про­сматривает файлы в поисках опознавательной части вируса — сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры часто могут удалять обнаруженные вирусы, причем хранить не сигнатуры известных вирусов, а их контрольные суммы. Такие программы называются полифагами.

Метод сканирования применим для обнаружения вирусов, сиг­натуры которых уже выделены и являются постоянными. Для эф­фективного использования метода необходимо регулярное обнов­ление сведений о новых вирусах.

Принцип работы сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых вирусов. Для поиска известных вирусов используются маски вируса (маска – некоторая постоянная последовательность кода, специфичная для конкретного вируса).

Метод обнаружения изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно раз­мещаются вирусы. При периодическом выполнении программ-ре­визоров сравниваются хранящиеся характеристики и характери­стики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном нали­чии вирусов.

Часто ревизоры и сканеры объединяют в одну антивирусную программу.

Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации в файловой системе.

Сущность эвристического анализа заключается в проверке воз­можных сред обитания вирусов и выявлении в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ. Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя.

Иммунизаторы делятся на два типа:

1) иммунизаторы, сообщающие о заражении;

2) иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток: невозможность сообщить о заражении стелс-вирусом.

Иммунизаторы второго типа защищают систему от заражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные.

Современные антивирусные программы снабжены мощными эвристическими механизмами для борьбы с еще неизвестными вирусами. Работа таких механизмов основана на том, что по характерным для вирусов участков кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте..

8. Антивирусные программы

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Антивирусная программа сравнивает коды программ с известными ей вирусами, которые хранятся в ее базе данных.

·  Norton AntiVirus 2013 и 2014 (производитель: “Symantec”)

Один из наиболее известных и популярных антивирусов. Процент распознавания вирусов очень высокий (близок к 100 %). В программе используется механизм, который позволяет распознавать новые неизвестные вирусы.

·  Dr.Web (производитель: “Диалог Наука”)

Популярный отечественный антивирус. Хорошо распознает вирусы, но в его базе их гораздо меньше, чем у других антивирусных программ.

·  Kaspersky Internet Security (производитель: “Лаборатория Касперского”).

Это антивирус признан во всем мире, как один из самых надежных. Несмотря на простоту в использовании он обладает всем необходимым арсеналом для борьбы с вирусами. Эвристический механизм, избыточное сканирование, сканирование архивов и упакованных файлов и т.д..

9. Построение системы антивирусной защиты корпоративной сети

Методически процесс построения корпоративной системы защиты от вирусов и других вредоносных программ состоит из следующих этапов.

1 этап. Проведение анализа объекта защиты и определение основных принципов обеспечения антивирусной безопасности

На первом этапе необходимо выявить специфику защищаемой сети, выбрать и обосновать несколько вариантов антивирусной защиты. Этап разбивается на следующие шаги:

-      проведение аудита состояния компьютерной системы и средств обеспечения антивирусной безопасности (АВБ);

-      обследование информационной системы;

-      анализ возможных сценариев реализации потенциальных угроз, связанных с проникновением вирусов.

Результат первого этапа: оценка общего состояния антивирусной защиты.

2 этап. Разработка политики антивирусной безопасности

Этап содержит следующие шаги:

-      классификация информационных ресурсов – перечень и степень защиты различных информационных ресурсов организации;

-      создание сил обеспечения АВБ, разделение полномочий – структура и обязанности подразделения, ответственного за организацию антивирусной безопасности;

-      организационно-правовая поддержка обеспечения АВБ – перечень документов, определяющих обязанности и ответственность различных групп пользователей за соблюдение норм и правил АВБ;

-      определение требований к инструментам АВБ – к антивирусным системам, которые будут установлены в организации;

-      расчет затрат на обеспечение антивирусной безопасности.

Результат этапа: политика антивирусной безопасности предприятия.

3 этап. Разработка плана обеспечения антивирусной безопасности

На этом этапе осуществляется выбор программных средств, средств автоматизированной инвентаризации и мониторинга информационных ресурсов. Разработка требований и выбор средств антивирусной защиты для:

-      серверов в локальной сети;

-      рабочих станций в локальной сети;

-      удаленных серверов / удаленных пользователей;

-      групповых приложений и электронной почты типа Microsoft Exchange, Lotus Notes, HP OpenMail;

-      шлюзов Internet (брандмауэров, proxy-серверов, серверов электронной почты Internet).

Разработка перечня организационных мероприятий по обеспечению АВБ, разработка (корректировка) должностных и рабочих инструкций персонала с учетом политики АВБ и результатов анализа рисков:

-      периодический анализ и оценка ситуации по обеспечению АВБ;

-      мониторинг средств АВБ;

-      план и порядок обновления средств АВБ;

-      контроль за соблюдением персоналом своих обязанностей по обеспечению АВБ;

-      план обучения определенных категорий пользователей;

-      порядок действий в критических ситуациях.

Результат этапа: план обеспечения антивирусной защиты предприятия.

4 этап. Реализация плана антивирусной безопасности

В ходе выполнения последнего этапа реализуется выбранный и утвержденный план антивирусной безопасности. Этап содержит следующие шаги:

-      поставка антивирусных средств;

-      их внедрение;

-      их поддержка.

В результате выполнения данных работ становится возможным построение эффективной системы корпоративной антивирусной защиты.

Вопросы для самопроверки:

1.       Что такое компьютерный вирус?

2.       Какие типы компьютерных вирусов вам известны?

3.       Какое действие выполняет программный вирус?

4.       Какие существуют методы защиты от вирусов?

5.       Какие средства антивирусной защиты вам известны?

6.       Приведите примеры антивирусных программ.

Задания:

Задание 1.

Проработать пункт 9 теоретического материала и схематично изобразить процесс построения системы антивирусной защиты корпоративной сети.

Задание 2.

Провести сравнительный анализ антивирусных программных комплексов (3-4) по ряду критериев (5-10). Критерии определить и сформулировать самостоятельно (например, обнаружение вирусов, обнаружение деструктивных кодов, готовность быстрого реагирования на появление новых видов угроз и др.). Анализ оформить в виде таблицы (см. табл. 2):

Таблица 2

Таблица сравнительных характерисик антивирусных комплексов

Задание 2 должно заканчиваться обобщающим выводом. Указать, какому антивирусному программному комплексу Вы отдаете предпочтение, применяете ли Вы его возможности? Почему? Ответ обосновать.

Задание 3.

1.       Запустить установленную антивирусную программу на ПК.

2.       Протестировать несколько объектов, в случае обнаружения вируса выполнить лечение.

3.       Ознакомиться с элементами интерфейса окна антивирусной программы (область, объекты, действия, настройки).

4.       Изменить настройки антивирусной программы (например, область проверки и др.) и провести тестирование и лечение, если необходимо.

5.       Запустить сканирование.

6.       После окончания сканирования проанализировать результаты

7.       Указать последовательность действий при обновлении антивирусных баз (все варианты).

Контрольные вопросы:

1.       Перечислить источники появления компьютерных вирусов.

2.       Объяснить основные правила защиты от компьютерных вирусов.

3.       На чем основан принцип работы сканеров?

4.       На чем основан принцип работы ревизоров?

5.       На чем основан принцип работы резидентных мониторов?

6.       На чем основан принцип работы иммунизаторов?

7.       Перечислить и объяснить преимущества и недостатки современных антивирусных программ.

8.       Перечислить возможности и особенности какой-либо антивирусной программы.

9.       Какими критериями Вы будете руководствоваться при выборе антивирусного программного комплекса?

10.   Какие этапы построения включает система антивирусной защиты корпоративной сети? В чем, по Вашему мнению, заключается значимость и необходимость таких систем?

Скачано с www.znanio.ru