Технология антивирусной защиты

 

Технология антивирусной защиты представляет собой совокупность методов обнаружения и удаления программных компонентов, несанкционированно внедрённых в информационную сферу АС и предназначенных для выполнения несанкционированных действий, направленных на реализацию угроз ИБ. Такие программные компоненты принято называть «вирусами». Частными случаями вирусов являются: информационные «закладки», информационные люки, программы типа «троянский конь» и др. Внесение вирусов может осуществляться нарушителем как на технологическом, так и на эксплуатационном этапе жизненного цикла ГСПД.

Технология антивирусной защиты реализуется при помощи специализированного программного обеспечения, называемого антивирусными программами. Существует четыре основных типа антивирусных программ: сканеры, программы контроля целостности данных, мониторы и гибридные антивирусные средства.

 

Алгоритм работы антивирусного сканеразаключается в обнаружении вирусов на базе сигнатур, хранящихся в БД сканера. Сигнатура вируса представляет последовательность кода, характерную для этого вируса. Если в процессе анализа информационных ресурсов и инфраструктур АС на предмет наличия вирусов сканер встретит фрагмент кода, соответствующий сигнатуре, хранящейся в его БД, то он сигнализирует об обнаружении вируса. Недостатком антивирусных сканеров является невозможность обнаружения тех вирусов, которых нет в его БД. Для устранения этого недостатка в сканерах используется дополнительный компонент - эвристический анализатор, предназначенный для обнаружения вирусов, заранее неизвестных сканеру. Однако данный метод обнаружения вирусов является недостаточно надёжным и характеризуется большим количеством ложных срабатываний.

 

Программы контроля целостности данныхпредназначены для обнаружения вирусов путём отслеживания изменений, внесённых в информационные ресурсы и инфраструктуры защищаемой АС. Контроль изменений ресурсов и инфраструктур осуществляется при помощи механизма контрольных сумм. Алгоритм работы антивирусных программ этого типа аналогичен работе систем обнаружения ВН, построенных на базе метода контроля целостности.

Антивирусные мониторы - это специальные программы, которые функционируют в фоновом режиме ОС защищаемой АС и осуществляют проверку всех ресурсов и инфраструктур, с которыми работает ОС АС. При этом обнаружение вирусов осуществляется при помощи рассмотренных выше алгоритмов работы антивирусных сканеров.

 

Гибридные антивирусные средствасочетают в себе функциональные возможности сканеров, программ контроля целостности данных и мониторов.

 

В настоящее время только два антивирусных средства имеют сертификаты Гостехкомиссии.

В ГСПД антивирусные средства защиты могут быть использованы для решения лишь одной задачи ИБ ГСПД - обнаружения «закладок» и «вирусов», внесённых в ПО ЦУС. Необходимо также отметить, что существующие на отечественном рынке ИБ средства антивирусной защиты способны обнаружить лишь общеизвестные «закладки» и «вирусы», внедрённые в ПО ЦУС, и не имеют возможности выявить те из них, сигнатуры которых не содержатся в БД антивируса. Средства же выявления «вирусов» и «закладок», внесённых в информационные ресурсы и инфраструктуры узлов ГСПД, в настоящее время на отечественном рынке ИБ отсутствуют.

Проведённый анализ возможности использования существующих средств защиты информации в целях обеспечения ИБ ГСПД показывает, что ни один из типов средств защиты не может обеспечить выполнение всех задач ИБ ГСПД, список которых был приведён в начале данной главы. Так, ни одно из описанных выше средств защиты информации не позволяет решить задачу защиты ГСПД от НСД к услугам связи, а также задачу локализации места и источника ВН, направленного на нарушение целостности передаваемых сообщений. Данный факт говорит о необходимости разработки новых подходов к созданию средств обеспечения ИБ ГСПД.