Исследование способов комплексной защиты информации в АСУ (стр. 5 из 6)

Блокировка действий

Для предотвращения инфицирования вирусами машины, вдобавок к сканированию файлов и доступных дисков, очень важна блокировка некоторых действий. Для успешного распространения вирусы должны совершать определенные действия типа внедрения их кода в загрузочный сектор и программные файлы и перехватывания некоторых прерываний. eSafe Desktop просматривает не должным образом измененные прерывания, вмешательства в нормальную работу дисков, неавторизованные вызовы типа "Запись на диск" и другие попытки вмешательства, которые указывают на вирусное нападение. С помощью блокирования такой активности предотвращается распространение вирусов, и данные предохраняются от повреждений.

Обнаружение новых вирусов

При загрузке eSafe создает несколько небольших программных файлов (эти файлы все время изменяются) в качестве приманки для вирусов. Приманки запускаются и быстро закрываются. Так как мы знаем, каким был код приманки до запуска, то мы также и знаем, каким он должен быть после закрытия программы. Если eSafe обнаружит любые изменения в этих файлах, то система заражена. ESafe предупреждает пользователя или нужного администратора, после чего захватывает вирусную сигнатуру для очистки. eSafe обладает самообучающейся функцией и может обновлять списки вирусов, если найденный вирус ранее был неизвестен, то он заносится в базу. Такая методика - наиболее мощная защита против неизвестных вирусов.

Охота на новые вирусы

Эвристический анализирующий механизм eSafe - сканер, который базируется на правилах, который включает в себя свыше 200 правил и примеров кода для розыска новых неизвестных вирусов. Вдобавок eSafe использует механизм сравнений, корреляций и поиска идентичного кода в программах. Одинаковый код в различных директориях может быт признаком вирусной инфекции.

Технология проверки целостности Smart-ScanTM

После проверки нового файла eSafe сохраняет заголовочную информацию, контрольную сумму CRC и уникальные внутренние данные каждого программного файла. Эта информация используется позже для обнаружений изменений в файлах и восстановления их в случае заражения известными или неизвестными вирусами. eSafe реально может восстановить файлы зараженные неизвестными вирусами без переустановок любого программного обеспечения. Некоторые другие антивирусные программы имеют средства для проверки целостности, но не одна из них не заходит так далеко, ограничиваясь проверкой контрольных сумм файла CRC. Такие устаревшие и потребляющие много ресурсов утилиты не могут находить stealth вирусы или восстанавливать разрушенные вирусами файлы. Чтобы преодолеть это препятствие, eSafe сохраняет заголовок и внутренние данные чистого файла в автоматически обновляемом и очень маленьком зашифрованном файле. Затем eSafe проверяет каждую программу на наличие изменений после запуска. В случае атаки вируса сохраненные данные могут быть использованы для восстановления файла в первоначальном виде, пока не были задействованы обновления программы. Разница налицо - eSafe Protect более полон, надежен и прозрачен при работе с пользователем.

Самовосстановление при заражении вирусами, инфицирующих загрузочный сектор

Традиционный подход для удаления вирусов, заразивших загрузочный сектор таков:

1. Загрузиться с чистого загрузочного диска

2. Для удаления вируса запустить антивирусную программу с дискеты

3. Переустановить системные файлы

4. Удалить дискету и перегрузить машину.

Этот метод требует наличия дискет, а также много времени для запуска средства "тушения пожара". Для eSafe Desktop никаких дискет не требуется. Когда в загрузочном секторе найден вирус, eSafe Desktop автоматически перехватывает все системные прерывания для предотвращения повторного заражения и удаляет вирус с загрузочного сектора и/или с главной загрузочной записи.

После того, как это проделано, пользователю будет предложено совершить холодную перегрузку компьютера для удаления вируса из памяти, и таким образом вирус удаляется без постороннего вмешательства службы технической поддержки. Кроме этого, eSafe Desktop найдет любую дискету, оставленную в машине, с которой не разрешена горячая перегрузка.

Технология Macro TerminatorTM

Эта новая эвристическая технология дает возможность eSafe распознать и удалить даже новый и неизвестный макровирус в документах MS Office. Технология базируется на некоторых типичных методах, использующихся макровирусами. Если такие методы встречаются, то eSafe идентифицирует код как макровирус. Такая технология гораздо более точна, чем методы, базирующиеся на определениях вирусов через низкоуровневые языки, так как макровирусы пишутся на высокоуровневом языке (VBA - Визуал БЕЙСИК для Приложений), и может определять команды, специфические для таких вирусов. Макровирусы, являющиеся наиболее опасными из семейства вирусов, сталкиваются с мощной уникальной технологией Macro Terminator TM.

Технология Ghost MachineTM

Эта технология "обманывает" полиморфные вирусы для раскрытия их истинного содержания.

Полиморфные вирусы шифруют свой код каждый раз, когда заражают файл. Нет никакого способа извлечь сигнатуру такого вируса и затем найти ее. Уникальная технология от eSafe, названная Ghost Machine исполняет команды в безопасном, имитирующем пространстве виртуальной машины, пока вирус полностью не расшифрует себя. Это качественно повышает способность eSafe быстро распознавать новые полиморфные вирусы.

Персональный Межсетевой экран (The Personal FireWallTM)

Качество обучения, которые владельцы компьютеров могут создать своим детям или другим пользователям с помощью Internet, резко повысилось. Однако все больше и больше людей понимает, что такай способ работы несет в себе определенный риск. Так, через Internet или электронную почту для детей возможен не только доступ к нужной информации, но и быстрое получение материалов, не предназначеных для детей. Иные пользователи могут также воспользоваться своими правами работы в Internet для неправомочной или не для продуктивной деятельности. Дети могут использовать Internet для доступа к вердоносному или даже опасному программному обеспечению, порнографии и т.п. Кроме расхода ценного времени доуступа в Internet, такая деятельность детей бывает еще и нежелательна.

eSafe Desktop включает в себя персональный межсетевой экран для фильтрации трафика Internet и создания защиты на уровне персонального компьютера. С его помощью администраторы могут ограничить доступ на web сайты или к новостным группам, базируясь на ключевых словах или категориях, предотвратить использование определенных слов во многих интернет приложениях, защитить от случайной потери персональную информацию, защититься от троянов и хакерских атак и ограничить использование Internet в соответствие с правилами политики компании.

Фильтрование содержимого

Администраторы могу блокировать web страницы, содержащие слово "PORN" или другие новостные группы, начинающиеся с "ADU". Администраторы могут также заблокировать сайты, базируясь на их названии или IP адресе или даже ограничить возможности служащих посещением списка только "доверенных" web сайтов, не более. Такой метод намного более эффективен, чем те технологии, которые полагаются на постоянно модифицируемую базу данных известных URL (Universal Resource Locator). Фильтр eSafe даже заблокирует страницу, которая была опубликована на несколько секунд раньше, чем пользователь попытался обратиться к ней.

Защита ресурсов

Владельцы компьютеров очень много времени тратят, восстанавливая или переконфигурируя системы, установки которых были изменены другими пользователями без разрешения. Esafe Desktop может проконтролировать такие неправомочные изменения, чтобы владельцы не тратили свое дорогостоящее время на ремонт.

Администраторы могут запретить пользователям следующее:

· Запускать программы в DOS режиме

· Доступ к Панели Управления

· Изменение настроек Принтера

· Подключение и Отключение Сетевых Дисков

· Доступ к Сетевому Окружению

· Включение режима кэширования паролей

· Доступ к пункту Выполнить в меню Пуск

· Загрузку в Сберегающем Режиме

· Использование многих другие привилегий

· Предотвращение неправомочного использования программного обеспечения

eSafe позволяет администраторам предотвратить установку программного обеспечения с дискет, сетевых дисков, локальных дисков или с CD-ROM. Администраторы могут запретить установку всего программного обеспечения или только программ некоторых типов, таких как DOS-программы. Неавторизованное программное обеспечение часто делает компьютер незащищенным, снижает его производительность из-за использования игр и др. Если администраторы руководствуются политикой, которая запрещает пользователям самостоятельно устанавливать программное обеспечение, они могут внедрить ее с помощью eSafe.

Заключение

Во всем мире сейчас принято строить комплексную систему защиту, следуя нескольким этапам. Первый этап - информационное обследование - самый важный. Именно на этом этапе определяется, от чего в первую очередь необходимо защищаться компании.

На этом же этапе строится так называемая модель нарушителя, которая описывает вероятный облик злоумышленника, т.е. его квалификацию, имеющиеся средства для реализации тех или иных атак, обычное время действия и т.п. На этом этапе вы получаете ответ на два вопроса: "Зачем и от кого надо защищаться?" По результатам этапа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты.