Проверочные механизмы
Независимо от того, как была получена информация для проверки, теперь в игру вступает наиболее важный компонент антивируса: проверочный механизм. Этот механизм проверяет перехваченную информацию на предмет вирусов и, если обнаруживает таковые, обезвреживает их.
Информация может быть проверена двумя путями. Один метод предполагает сравнение полученной информации с вирусной базой («файлом вирусных баз»). Если информация удовлетворяет хотя бы одному признаку вируса, антивирус де- лает вывод, что файл заражен.
Другим способом определения того, опасна ли информация, является эвристическая проверка данный метод предполагает анализ поведения информации и сравнения его со списком шаблонов вирусной активности, но он не позволяет со 100- процентной уверенностью утверждать, что информация инфицирована.
Например, если обнаруживается файл, который способен отформатировать жесткий диск, антивирус предупреждает об этом пользователя. Хотя на самом деле это может быть не вирус, а новая система форматирования, которую пользователь устанавливает на свой компьютер, но потенциально она опасна и поэтому антивирус поднимает тревогу. Пользователь должен самостоятельно решить, следует ли удалять этот файл.
Оба метода проверки имеют свои «за» и «против». Если используется только система вирусных баз, то их необходимо обновлять хотя бы раз в день. Ежедневно появляется до 15 новых вирусов, и антивирус, оставленный без обновлений на два-три дня, уже не обеспечивает должного уровня защиты.
Недостаток эвристической системы заключается в том, что она будет предупреждать вас и о тех элементах, о которых вам точно известно, что они не являются вирусами. Если вы работаете со многими элементами, которые признаются программой потенциально опасными, вам могут скоро надоесть эти постоянные тревоги. В частности, программисты иногда предпочитают отключать данную опцию.
Постоянная проверка и проверка по требованию
Важно четко разграничивать два типа антивирусной защиты. Первый — постоянная защита, которая более сложна, но необходима. Такая защита постоянно наблюдает за операциями на компьютере и предотвращает любое вторжение. другим типом защиты являются проверки по требованию. Они используют тот же механизм, что и постоянная защита, но проверяют любые области системы только по желанию пользователя. Обычно они используются в строго определенных случаях. Например, пользователь хочет произвести проверку новой дискеты или проверить информацию на компьютере, которая какое-то время не использовалась.
Лекция 34 Структура антивирусной защиты предприятия
В общем случае, антивирусная защита информационной системы организации должна строиться по иерархическому принципу:
• службы общекорпоративного уровня — 1-й уровень иерархии;
• службы подразделений или филиалов — 2-й уровень иерархии;
• службы конечных пользователей — 3-й уровень иерархии.
Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:
• получение обновления программного обеспечения и антивирусных баз;
• управление распространением антивирусного программного обеспечения;
• управление обновлением антивирусных баз;
• контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);
• на уровне подразделений:
• обновление антивирусных баз конечных пользователей;
• обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
• на уровне конечных пользователей:
• автоматическая антивирусная защита данных пользователя.