Преподаватель
Спонсор: Microsoft
Опубликован: 25.06.2010 | Уровень: специалист | Доступ: свободно
Лекция 15:

Защита от вирусных угроз

Аннотация: В данной лекции рассматриваются существующие виды угроз безопасности, описывается один из подходов к созданию модели нарушителя, а также возможные сценарии построения комплексной системы защиты от вирусных угроз.
Ключевые слова: вирус, контроль целостности, монитор, сканер, шлюз, угроза, информационная безопасность, ПО, атака, ущерб, злоумышленник, вредоносный код, АС, сигнатурный метод, сигнатура, эксплуатация, антивирус, уязвимость, инфраструктура, комплексный подход, автоматизированная система, рабочая станция, коммуникационное оборудование, аппаратное обеспечение, сетевой адаптер, доступ, элементы управления, передача данных, модель взаимодействия открытых систем, определение функции, прикладной уровень, уровень представления, сеансовый уровень, логическое соединение, транспортный уровень, сетевой уровень, сетевой адрес, сборка, канальный уровень, преобразование данных, среда передачи, физический уровень, среда передачи данных, оптоволоконный кабель, экранирование, витая пара, СУБД, базы данных, множества, структурная модель, троянский конь, adware, spyware, червь, тип носителя, trojan, вредоносное ПО, список, информация, Интернет, конфиденциальная информация, вредоносная программа, баннер, товар, конфиденциальность, целостность, CD-ROM, DVD-ROM, ZIP, USB, мобильное устройство, PDA, смартфон, хост, FireWire, LPT, электронная почта, P2P, peering, instant messaging, программное обеспечение, BIOS, материнская плата, пароль, адресная книга, информационные технологии, запуск, класс, программный продукт, минимум, средства защиты информации, программные средства, объём, антивирусная защита, вероятность, файл, Appliances, агент, централизованное управление, альтернатива, Дополнение, сегменты, сенсор, информационная атака, поведенческий метод, пассивный, хранение данных, совместность, service pack, hotfix, patching, процессы обработки, принятия решений, механизмы, разграничение доступа, виртуальные локальные сети, VLAN, virtualize, local area network, деление, коммутатор, контроль доступа, ACL, access control, транспортная, admission control, сетевой протокол, smtp, POP3, межсетевой экран, прокси-сервер, канал связи, резервное копирование, эффективная реализация, политика антивирусной безопасности, значимость
Презентацию к лекции Вы можете скачать здесь.

Цель лекции

В рамках лекции рассматриваются антивирусные системы на примере продуктов компании Microsoft

  1. Типы информационных вирусов.
  2. Основные типы антивирусных средств защиты - средства контроля целостности, антивирусные мониторы и сканеры, антивирусные шлюзы.
  3. Типовая схема размещения антивирусных средств защиты.
  4. Новые подходы к построению антивирусных средств защиты
  5. Описание семейства продуктов Microsoft ForeFront
  6. Преимущества Microsoft ForeFront перед другими антивирусными решениями

Текст лекции

На сегодняшний день компьютерные вирусы остаются одним из наиболее обсуждаемых видов угроз. Более того именно с защиты от компьютерных вирусов обычно начинают создавать систему информационной безопасности компании. Однако, не смотря на то, что отрасль антивирусной безопасности существует уже более десяти лет, данный вид угроз остаётся одним из наиболее актуальных и опасных. Так, например, по данным многих научно-исследовательских центров в Европе и США, ежегодно увеличивается не только количество успешных вирусных атак, но и уровень ущерба, который наносится компаниям в результате использования злоумышленниками вредоносного кода.

В настоящее время во многих компаниях бытует распространённое мнение о том, что для эффективной защиты АС от вредоносного ПО достаточно установить антивирусные продукты на всех рабочих станциях и серверах, что автоматически обеспечит нужный уровень безопасности. Однако, к сожалению, практика показывает, что такой подход не позволяет в полной мере решить задачу защиты от вредоносного кода. Обусловлено это следующими основными причинами:

  • подавляющее большинство антивирусных средств базируется на сигнатурных методах выявления вредоносного ПО, что не позволяет им обнаруживать новые виды вирусов, сигнатуры которых отсутствуют в их базах данных;
  • в ряде случаев в организациях отсутствуют нормативно-методические документы, регламентирующие порядок работы с антивирусными средствами защиты. Это может приводить к возможным нарушениям правил эксплуатации, а именно - несвоевременному обновлению сигнатурных баз, отключению компонентов антивирусов, запуску программ с непроверенных информационных носителей и т.д.
  • антивирусные средства защиты не позволяют выявлять и устранять уязвимости, на основе которых компьютерные вирусы могут проникать в АС предприятий;
  • антивирусы не обладают функциональными возможностями, позволяющими ликвидировать возможные последствия вирусных атак;
  • персонал компании зачастую не осведомлён о возможных вирусных угрозах, вследствие чего допускаются непреднамеренные ошибки, приводящие вирусным атакам;
  • в большинстве случаев в компаниях используются антивирусные средства защиты одного производителя. Недостатком такого метода является высокий уровень зависимости от продукции этого производителя. Это означает, что в случае если по какой-то причине будет нарушена работоспособность антивирусного ядра или вендор не сможет своевременно обновить свою базу данных, то под угрозой вирусной эпидемии окажется вся инфраструктура компании.

Для того, чтобы избежать перечисленных выше недостатков рекомендуется использовать комплексный подход, предусматривающий возможность одновременного применения организационных и технических мер защиты от вирусных угроз.

Модель автоматизированной системы

Рассмотрим модель типовой автоматизированной системы, которая потенциально может быть подвержена вирусным атакам.

Автоматизированная система (АС), выступающая в качестве объекта защиты, может моделироваться в виде совокупности взаимодействующих узлов. В качестве узлов могут выступать рабочие станции пользователей, серверы или коммуникационное оборудование. В данной модели каждый узел АС представлен тремя уровнями:

  1. уровнем аппаратного обеспечения. На этом уровне функционируют технические средства узла, такие как сетевые адаптеры, процессоры, микросхемы плат и др.;
  2. уровнем общесистемного программного обеспечения, на котором функционирует операционная система узла и все её составные модули;
  3. уровнем прикладного программного обеспечения. На этом уровне функционирует программное обеспечение (ПО), обеспечивающее решение прикладных задач, для которых предназначена АС.

На каждом из узлов АС могут храниться и обрабатываться информационные ресурсы, доступ к которым может осуществляться посредством локального или сетевого взаимодействия. Локальное взаимодействие осуществляется при помощи элементов управления, непосредственно подключённых к узлам АС (например, консоли, клавиатуры, мыши, внешних портов узла и т.д.). Сетевое взаимодействие реализуется путём обмена с узлом информацией по каналам связи. Такая сетевая передача данных может быть представлена в виде семиуровневой модели взаимодействия открытых систем (ВОС). Каждый уровень этой модели соответствует определенным функциям, которые должны быть выполнены для обеспечения сетевого взаимодействия (табл. 21.1).

Таблица 21.1. Функции семиуровневой модели взаимодействия открытых систем
Наименование уровня модели Функции, которые реализуются на соответствующем уровне модели ВОС
Прикладной уровень Реализуется программный интерфейс для доступа различных приложений к функциям передачи информации по каналам связи АС
Уровень представления Определяется формат данных, которые будут передаваться между узлами АС по сети
Сеансовый уровень Выполняются функции установления и закрытия логического соединения между узлами АС
Транспортный уровень Реализуются функции управления сетевым соединением, по которому передаются данные между узлами АС
Сетевой уровень Осуществляется управление сетевыми адресами узлов АС, а также обеспечивается фрагментация и сборка передаваемых пакетов данных
Канальный уровень Обеспечивается преобразование данных в соответствующий формат физической среды передачи информации АС
Физический уровень Обеспечивается передача информации через физическую среду передачи данных, в качестве которой могут выступать оптоволоконные кабели, экранированные витые пары, беспроводные каналы связи и др.

Помимо уровней модели ВОС, а также уровней аппаратного, общесистемного и прикладного ПО, в АС также присутствует уровень информационных ресурсов, на котором хранятся, обрабатываются и передаются данные АС. Типы и формат информационных ресурсов этого уровня определяются составом и конфигурацией используемого аппаратного и программного обеспечения АС. Так, например, при использовании серверов СУБД в качестве информационных ресурсов могут выступать таблицы базы данных, а при использовании Web -серверов такими ресурсами могут быть гипертекстовые документы.

Структурная модель АС, состоящая из двух узлов

Рис. 21.1. Структурная модель АС, состоящая из двух узлов

С учётом рассмотренной выше модели ВОС и трёхуровневой модели узлов, АС может быть представлена в виде множества узлов, которые могут взаимодействовать между собой по каналам связи. На рис.21.1 показан пример структурной модели АС, состоящей из двух узлов. Далее рассмотрим вирусные угрозы, которые могут реализовываться на различных уровнях рассмотренной модели.

Евгений Виноградов
Евгений Виноградов
Экстернат
Илья Сидоркин
Илья Сидоркин
Как получить диплом?
Вениамин Сергеев
Вениамин Сергеев
Россия, Тюмень, Тюменский индустриальный институт, 1983