Средства защиты информаций в сетях

При организации системы антивирусной защиты на предприятии учитывались следующие факторы риска:

- ограниченные  возможности антивирусных программ

Возможность создания новых вирусов с ориентацией на противодействие конкретным антивирусным пакетам и механизмам защиты, использование уязвимостей системного и прикладного ПО приводят к тому, что даже тотальное применение антивирусных средств с актуальными антивирусными базами не дает гарантированной защиты от угрозы вирусного заражения, поскольку возможно появление вируса, процедуры защиты от которого еще не добавлены в новейшие антивирусные базы.

- высокая  интенсивность обнаружения критичных  уязвимостей в системном ПО

Наличие новых неустраненных критичных уязвимостей в системном ПО, создает каналы массового распространения новых вирусов по локальным и глобальным сетям. Включение в состав вирусов «троянских» модулей, обеспечивающих возможность удаленного управления компьютером с максимальными привилегиями, создает не только риски массового отказа в обслуживании, но и риски прямых хищений путем несанкционированного доступа в автоматизированные банковские системы.

- необходимость  предварительного тестирования  обновлений системного и антивирусного ПО

Установка обновлений без предварительного тестирования создает риски несовместимости системного, прикладного и антивирусного ПО и может приводить к нарушениям в работе. В то же время тестирование приводит к дополнительным задержкам в установке обновлений и соответственно увеличивает риски вирусного заражения.

- разнообразие  и многоплатформенность используемых  в автоматизированных системах технических средств и программного обеспечения

Возможность работы отдельных типов вирусов на различных платформах, способность вирусов к размножению с использованием корпоративных почтовых систем или вычислительных сетей, отсутствие антивирусных продуктов для некоторых конкретных платформ делают в ряде случаев невозможным или неэффективным применение антивирусного ПО.

- широкая  доступность современных мобильных средств связи, устройств хранения и носителей информации большой емкости

Современные мобильные средства связи позволяют недобросовестным сотрудникам произвести несанкционированное подключение автоматизированного рабочего места к сети Интернет, создав тем самым брешь в периметре безопасности корпоративной сети и подвергнув ее информационные ресурсы риску массового заражения новым компьютерным вирусом. Наличие доступных компактных устройств хранения и переноса больших объемов информации создает условия для несанкционированного использования таких устройств и носителей в личных, не производственных целях. Несанкционированное копирование на компьютеры предприятия информации, полученной из непроверенных источников, существенно увеличивает риски вирусного заражения.

- необходимость  квалифицированных действий по  отражению вирусной атаки

Неквалифицированные действия по отражению вирусной атаки могут приводить к усугублению последствий заражения, частичной или полной утрате критичной информации, неполной ликвидации вирусного заражения или даже расширению очага заражения.

- необходимость  планирования мероприятий по  выявлению последствий вирусной атаки и восстановлению пораженной информационной системы

В случае непосредственного воздействия вируса на автоматизированную банковскую систему, либо при проведении неквалифицированных лечебных мероприятий может быть утрачена информация или искажено программное обеспечение.

В условиях действия указанных факторов только принятие жестких комплексных мер безопасности по всем возможным видам угроз позволит контролировать постоянно растущие риски полной или частичной остановки бизнес процессов в результате вирусных заражений.

Пакет Dr.Web

Для антивирусной защиты был выбран пакет Dr.Web Enterprise Suite. Этот пакет обеспечивает централизованную защиту корпоративной сети любого масштаба. Современное решение на базе технологий Dr.Web для корпоративных сетей, представляет собой уникальный технический комплекс со встроенной системой централизованного управления антивирусной защитой в масштабе предприятия. Dr.Web Enterprise Suite позволяет администратору, работающему как внутри сети, так и на удаленном компьютере (через сеть Internet) осуществлять необходимые административные задачи по управлению антивирусной защитой организации.

Основные возможности:

Быстрое и эффективное распространение сервером Dr.Web Enterprise Suite обновлений вирусных баз и программных модулей на защищаемые рабочие станции.

Минимальный, в сравнении с аналогичными решениями других производителей, сетевой трафик построенных на основе протоколов IP, IPX и NetBIOS с возможностью применения специальных алгоритмов сжатия.

Возможность установки рабочего места администратора (консоли управления антивирусной защитой) практически на любом компьютере под управлением любой операционной системы.

Ключевой файл клиентского ПО и сервера, по умолчанию, хранится на сервере.

Сканер Dr.Web с графическим интерфейсом. Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы.

Резидентный сторож (монитор) SpIDer Guard. Контролирует в режиме реального времени все обращения к файлам, выявляет и блокирует подозрительные действия программ.

Резидентный почтовый фильтр SpIDer Mail. Контролирует в режиме реального времени все почтовые сообщения, входящие по протоколу POP3 и исходящие по протоколу SMTP. Кроме того, обеспечивает безопасную работу по протоколам IMAP4 и NNTP.

Консольный сканер Dr.Web. Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы.

Утилита автоматического обновления. Загружает обновления вирусных баз и программных модулей, а также осуществляет процедуру регистрации и доставки лицензионного или демонстрационного ключевого файла.

Планировщик заданий. Позволяет планировать регулярные действия, необходимые для обеспечения антивирусной защиты, например, обновления вирусных баз, сканирование дисков компьютера, проверку файлов автозагрузки.

Dr.Web для Windows 5.0 обеспечивает возможность лечения  активного заражения, включает технологии  обработки процессов в памяти  и отличается вирусоустойчивостью. В частности, Dr.Web способен обезвреживать  сложные вирусы, такие как MaosBoot, Rustock.C, Sector. Как отмечается, технологии, позволяющие Dr.Web эффективно бороться с активными вирусами, а не просто детектировать лабораторные коллекции, получили в новой версии свое дальнейшее развитие.

В модуле самозащиты Dr.Web SelfProtect ведется полноценный контроль доступа и изменения файлов, процессов, окон и ключей реестра приложения. Сам модуль самозащиты устанавливается в систему в качестве драйвера, выгрузка и несанкционированная остановка работы которого невозможны до перезагрузки системы.

В версии 5.0 реализована новая технология универсальной распаковки Fly-code, которая позволяет детектировать вирусы, скрытые под неизвестными Dr.Web упаковщиками, базируясь на специальных записях в вирусной базе Dr.Web и эвристических предположениях поискового модуля Dr.Web о возможно содержащемся в упакованном архиве вредоносном объекте.

Противостоять неизвестным угрозам Dr.Web также помогает и технология несигнатурного поиска Origins Tracing, получившая в новой версии свое дальнейшее развитие. Как утверждают разработчики, Origins Tracing дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web и повышает уровень детектирования ранее неизвестных вредоносных программ.

Кроме того, по данным «Доктор Веб», Dr.Web для Windows способен не только детектировать, но и эффективно нейтрализовать вирусы, использующие руткит-технологии. В версии 5.0 реализована принципиально новая версия драйвера Dr.Web Shield, которая позволяет бороться даже с руткит-технологиями будущего поколения. В то же время, Dr.Web способен полностью проверять архивы любого уровня вложенности. Помимо работы с архивами, в Dr.Web для Windows версии 5.0 добавлена поддержка десятков новых упаковщиков и проведен ряд улучшений при работе с упакованными файлами, в том числе файлами, упакованными многократно и даже разными упаковщиками.

За счет включения новых и оптимизации существующих технологий Dr.Web для Windows разработчикам удалось ускорить процесс сканирования. Благодаря возросшему быстродействию антивирусного ядра, сканер Dr.Web на 30% быстрее предыдущей версии проверяет оперативную память, загрузочные секторы, содержимое жестких дисков и сменных носителей, утверждают в компании.

Среди новинок можно отметить HTTP-монитор SpIDer Gate. HTTP-монитор SpIDer Gate проверяет весь входящий и исходящий HTTP-трафик, при этом совместим со всеми известными браузерами, и его работа практически не сказывается на производительности ПК, скорости работы в интернете и количестве передаваемых данных. Фильтруются все данные, поступающие из интернета — файлы, аплеты, скрипты, что позволяет скачивать на компьютер только проверенный контент.

Тестирование пакета Dr.Web

Чтобы удостовериться, что выбранный в качестве корпоративного антивирусного пакета Dr.Web является действительно надежным средством, я изучил несколько обзоров антивирусных программ и ознакомился с несколькими результатами тестов.

Результаты теста по вероятностной методике (сайт antivirus.ru) отдают Dr.Web первое место (Приложение Г).

По результатам февральского тестирования антивирусных программ, проведенного журналом Virus Bulletin, отечественный полифаг Dr. Web занял 8-е место среди лучших антивирусов в мире. Программа Dr. Web показала абсолютный результат 100% в важной и престижной (технологической) категории - по степени обнаружения сложных полиморфных вирусов. Следует особо отметить, что в тестах журнала Virus Bulletin 100%-го результата по обнаружению полиморфных вирусов программа Dr. Web стабильно добивается (январь 2007, июль-август 2007 и январь 2008) уже третий раз подряд. Такой стабильностью по этой категории не может похвастаться ни один другой антивирусный сканер.

Высочайший уровень в 100% достигнут программой Dr. Web также и в очень актуальной категории - по обнаружению макро-вирусов.

 

 

3. РЕАЛИЗАЦИЯ   ПРОЕКТА

3.1. Листинги программы

 

unit Uni;

 

interface

 

uses

  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

  Dialogs, StdCtrls, ExtCtrls, ComCtrls, ActnList;

 

type

  TForm1 = class(TForm)

    Button1: TButton;

    LabeledEdit1: TLabeledEdit;

    Button2: TButton;

    RadioGroup1: TRadioGroup;

    OpenDialog1: TOpenDialog;

    ActionList1: TActionList;

    Coding: TAction;

    Decoding: TAction;

    LabeledEdit3: TLabeledEdit;

    Button3: TButton;

    procedure Button1Click(Sender: TObject);

    procedure RadioGroup1Click(Sender: TObject);

    procedure Button3Click(Sender: TObject);

    procedure CodingExecute(Sender: TObject);

    procedure Button2Click(Sender: TObject);

    procedure DecodingExecute(Sender: TObject);

  private

    { Private declarations }

  public

    { Public declarations }

  end;

 

var

  Form1: TForm1;

  in_file,out_file:file;

  key:array[1..8] of longint;

  x1,x2,y1,y2:longint;

  fp1:string;

  i,i1:integer;

 

implementation

 

{$R *.dfm}

 

procedure TForm1.Button1Click(Sender: TObject);

begin

case RadioGroup1.ItemIndex of

   0:Coding.Execute;

   1:Decoding.Execute;

end;

end;

 

procedure TForm1.RadioGroup1Click(Sender: TObject);

begin

case RadioGroup1.ItemIndex of

   0:

    begin

     Button1.Caption:='Кодировать';

     Form1.Caption:='Режим кодирования';

    end;

   1:

    begin

     Button1.Caption:='Декодировать';

     Form1.Caption:='Режим декодирования';

    end;

end;

end;

 

procedure TForm1.Button3Click(Sender: TObject);

begin

OpenDialog1.Filter:='Файл ключа|*.kf';

if OpenDialog1.Execute=true

then

  if FileExists(OpenDialog1.FileName)=false

  then

   begin

    AssignFile(in_file,OpenDialog1.FileName+'.kf');

    rewrite(in_file,1);

    randomize;

    for i:=1 to 32 do

     begin

      i1:=random(255);

      BlockWrite(in_file,i1,1);

     end;

    Closefile(in_file);

    AssignFile(in_file,OpenDialog1.FileName+'.kf');

    reset(in_file,1);

    for i:=1 to 8 do

     BlockRead(in_file,key[i],4);

    Closefile(in_file);

    LabeledEdit3.Text:=OpenDialog1.FileName+'.kf';

   end

  else

   begin

    AssignFile(in_file,OpenDialog1.FileName);

    reset(in_file,1);

    for i:=1 to 8 do

     BlockRead(in_file,key[i],4);

    CloseFile(in_file);

    LabeledEdit3.Text:=OpenDialog1.FileName;

   end;

end;

 

procedure TForm1.CodingExecute(Sender: TObject);

begin

if FileExists(LabeledEdit1.Text)=false

then

  begin

   MessageDlg('Не выбран кодируемый файл',mtError,[mbOK],1);

   Exit;

  end

else

  if FileExists(LabeledEdit3.Text)=false

  then

   begin

    MessageDlg('Не выбран ключевой файл',mtError,[mbOK],1);

    Exit;

   end

else AssignFile(in_file,fp1);

 

AssignFile(out_file,fp1+'cf');

Reset(in_file,1);

Rewrite(out_file,1);

 

for i:=1 to FileSize(in_file) div 8 do

  begin

   BlockRead(in_file,x1,4);

   BlockRead(in_file,x2,4);

   for i1:=1 to 8 do

    begin

     y2:=x1 xor key[i1];

     y1:=x2 xor y2;

     x1:=y1;

     x2:=y2;

    end;

   BlockWrite(out_file,y1,4);

   BlockWrite(out_file,y2,4);

  end;

i:=filesize(in_file)-filepos(in_file);

case i of

  1,2,3,4:

   begin

    BlockRead(in_file,x1,i);

    x2:=0;

    for i1:=1 to 8 do

     begin

      y2:=x1 xor key[i1];

      y1:=x2 xor y2;

      x1:=y1;

      x2:=y2;

     end;

    BlockWrite(out_file,y1,4);

    BlockWrite(out_file,y2,4);

   end;

  5,6,7:

   begin

    BlockRead(in_file,x1,4);

    BlockRead(in_file,x2,i-4);

    for i1:=1 to 8 do

     begin

      y2:=x1 xor key[i1];

      y1:=x2 xor y2;

      x1:=y1;

      x2:=y2;

     end;

    BlockWrite(out_file,y1,4);

    BlockWrite(out_file,y2,4);

   end;

end;

Closefile(in_file);

Closefile(out_file);

 MessageDlg('Кодирование законченно',mtWarning,[mbok],1);

end;

 

procedure TForm1.Button2Click(Sender: TObject);

begin

case RadioGroup1.ItemIndex of

   0:

    begin

     OpenDialog1.Filter:='Все файлы |*.*';

     if OpenDialog1.Execute=true

     then fp1:=OpenDialog1.FileName

    end;

  1:

   begin

    OpenDialog1.Filter:='Все закодированные файлы |*.*cf';

    if OpenDialog1.Execute=true

    then fp1:=OpenDialog1.FileName

   end;

end;

LabeledEdit1.Text:=fp1;

end;

 

procedure TForm1.DecodingExecute(Sender: TObject);

begin

if FileExists(LabeledEdit1.Text)=false

 then

  begin

   MessageDlg('Не  выбран декодируемый файл',mtError,[mbOK],1);

   Exit;

  end

else

  if FileExists(LabeledEdit3.Text)=false

  then

   begin

    MessageDlg('Не выбран ключевой файл',mtError,[mbOK],1);

    Exit;

  end

else AssignFile(in_file,fp1);

 

AssignFile(out_file,copy(fp1,1,length(fp1)-2));