К вредоносным программам относятся межсетевой экран

Согласно одной из версий, первым компьютерным вирусом называют программу Creeper, которая была создана в 1971 году Бобом Томасом. Creeper был создан для того, чтобы на практике проверить, возможны ли вообще самовоспроизводящиеся программы.

Кто автор первого компьютерного вируса?

Вирус загрузочного сектора Brain Brain, первый вирус для IBM-совместимых компьютеров, появился в 1986 году – он заражал пятидюймовые дискеты. Как сообщает Securelist, вирус был написан двумя братьями – Баситом и Амджадом Фаруком Алви, которые держали компьютерный магазин в Пакистане.

Какие признаки заражения компьютера вирусом?

• Много всплывающей рекламы. .
• Медленная работа компьютера. .
• Не запускаются приложения. .
• Проблемы з сетью и интернетом. .
• Не запускается операционная система. .
• Пропал антивирус. .
• Исчезли или не открываются файлы.

Какая разница между вирусом и червем в аспекте вредоносного ПО?

Черви считаются подклассом вирусов, но обладают характерными особенностями. Червь размножается (воспроизводит себя), не заражая другие файлы. . В отличие от вируса, код червя самостоятелен. Другими словами, червь – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.

Межсетевые экраны | Курс «Компьютерные сети»

Какие программы можно назвать вредоносными?

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Когда зараженная программа начинает свою работу то сначала управление получает?

Программа, внутри которой находится вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус.

Какие программы не относятся к антивирусным?

• Межсетевой экран, брандмауэр
• Потенциально опасные программы
• Программы-шутки, антивирусное программное обеспечение
• Шпионские и рекламные программы
• Вирусы, черви, трояны

Стоит почитать

• Как правильно обесценение или обесценивание?
• Как правильно на электронную почту или по электронной почте?
• Что нужно чтобы стать клиническим психологом?
• Как в Excel ввести формулу в ячейку?
• Кто занимается лечением птиц?
• Кто обязан проходить вводный инструктаж по охране труда?
• Что обозначает пион?
• Какие страны входят в Атланту?
• Какой срок у доверенности?
• Почему происходят приступы эпилепсии?

Похожие вопросы

• Как включить поиск решения в Excel 2016?
• Кто является родственником?
• Кому запорожцы с картины Репина пишут письмо?
• Сколько нужно взять 9 уксуса вместо 70?
• Какие открытия совершил Ерофей Хабаров?
• Что такое легенда на диаграмме?
• Как можно открыть буфер обмена?
• Как скачать драйвер для клавиатуры?
• Как разрешение влияет на качество отсканированного документа?
• Что открыл Планк?

Источник: questions.students-library.com

Средство удаления вредоносных программ Windows о котором вы не знали!!!

К вредоносным программам относятся межсетевой экран

В наш век информационных технологий компьютер просто обязан быть подключенным к глобальной или, в крайнем случае, локальной вычислительной сети. Без этого он превращается или в печатную машинку, или в калькулятор

Сети — это источник информации. А ведь вычислительная техника сегодня применяется именно для получения и переработки информации. Но, как только пользователь выходит в сеть, он сталкивается с проблемами сетевой безопасности, с хакерами, вирусами, ошибками ПО, способными повлечь утечку ценной информации. И тут уж пользователю приходится вплотную познакомиться с огромным спектром программного обеспечения, защищающего его от всяких напастей: с антивирусными продуктами, межсетевыми экранами разных классов и мощностей, а также с тонкостями настройки браузеров, почтовых клиентов, с дисциплиной в сети (этого не закачивай, того не запускай, туда не ходи и т.п.).

Firewall — не панацея. Защита должна быть комплексной!

И вот пользователь (или администратор сети) решился себя защитить. Поставил себе на рабочую станцию (сервер) межсетевой экран (firewall), научился им пользоваться (а я должен заметить, что это очень непростой класс программ, требующий от пользователей некоторых знаний), настроил его, создал все необходимые правила. Но и этого мало. Допустим, от прямых хакерских атак, DoS-атак, от backdoor- и какой-то разновидности троянских программ вы в определенной степени защищены — но ведь это далеко не все!

Защита от хакеров более актуальна для серверов, оказывающих какие-либо услуги (хранение информации и предоставление ее пользователям, доступ к глобальной сети Internet и т.п.). Конечным же пользователем межсетевой экран может применяться для разграничения доступа различных приложений к ресурсам сети.

Наиболее актуальной проблемой для такого пользователя остаются вирусы, черви и троянские программы. По статистике антивирусных компаний, более 95% всех вредоносных программ, распространяющихся в глобальной сети составляют сетевые черви, из них 99% — почтовые.

В связи с тем что почтовые черви распространяются чрез электронную почту, практически все межсетевые экраны оказываются неэффективны. Откуда firewall’у знать: пользователь ли отправляет письмо — или же это червь рассылает себя. Некоторые администраторы почтовых серверов в борьбе с вирусами применяют самые кардинальные меры — почтовый сервер не пропускает файлы, имеющие запускные расширения (EXE, COM, PIF, BAT, CMD, SCR и т.п.). Но ведь это тоже не выход. Так, сетевой червь I-Worm.Lentin отправляет свои копии в ZIP-архиве (неужели теперь и архивы резать будем?).

Кроме того, чаще всего пользователи сами находят проблемы на свою голову: открывают файлы, приходящие по электронной почте невесть откуда (и нередко таящие за двойными расширениями тела червей), посещают сомнительные веб-сайты, закачивают и запускают разнообразные «ускорители интернета» или новые хранители экрана. Не зря ведь самым узким звеном в любой системе безопасности считается человек.

Некоторые межсетевые экраны имеют возможность запоминать информацию о приложении в момент создания правила для доступа этого приложения к ресурсам сети. При каждом повторном доступе производится проверка соответствия этой информации. Таким образом, в случае изменения приложения или используемых им модулей firewall выдаст предупреждение вроде: «Приложение … было модифицировано. Разрешить ему установить соединение?». Такая возможность может оказаться очень полезной для конечного пользователя и при правильном использовании должна препятствовать доступу «троянизированных» приложений к ресурсам сети.

Все эти факторы расширяют функционал межсетевых экранов, дополняя его следующими возможностями:

• защитой от DoS атак;
• ограничением возможностей удаленного доступа к системным ресурсам компьютера;
• разграничением доступа приложений к ресурсам сети;
• детектированием почтовых и сетевых червей, создающих для распространения собственное соединение с удаленным ресурсом;
• детектированием троянских программ, создающих собственное соединение для передачи данных;
• детектированием backdoor-программ (приложений для удаленного доступа) использующих прямое соединение;
• блокированием доступа «троянизированных» приложений к ресурсам сети.

Не антивирусом единым

Думаю, никого не надо убеждать в необходимости использования антивирусных продуктов. Вирусы, черви, троянские программы сопровождают электронно-вычислительную технику повсюду — даже независимо от наличия или отсутствия подключения к сети. И люди уже привыкли более или менее часто пользоваться антивирусами.

В конце концов, пользователь не может (да и не должен) знать особые приметы и тонкости работы десятков тысяч вредоносных программ, которые уже детектируются и нейтрализуются антивирусными продуктами. Не станем обсуждать сейчас, какие антивирусы хороши, а какие плохи,- не в этом цель данной статьи. Если человек пользуется любым более или менее качественным антивирусным продуктом, обладающим необходимым набором модулей, и регулярно его обновляет — это уже неплохо.

Существуют два принципиально разных метода детектирования вредоносных программ антивирусными продуктами:

• поиск известных вирусов по присутствующим в антивирусных базах вирусным сигнатурам;
• поиск неизвестных вирусов по характерным для вирусов участкам кода.

Суть первого метода (поиск по сигнатурам) — в том, что антивирусные компании анализируют каждый (!) поступивший к ним вирус и добавляют соответствующую сигнатуру, которая будет обнаруживать только этот вирус. Для похожих вирусов (их семейств) выделяются также универсальные сигнатуры, способные обнаружить также и новые модификации данных вирусов. Для каждой антивирусной записи делается свой модуль лечения, благодаря которому антивирус сможет исцелить зараженный файл.

Преимущества данного метода очевидны: он практически не дает ложных срабатываний антивируса (при условии качественного добавления антивирусной записи), определяет каждый конкретный вирус и может его обезвредить (насколько это возможно в принципе). Но отсюда же выплывают и недостатки: невозможность обнаружения новых вирусов, необходимость постоянного обновления антивирусных баз.

Кардинально отличается от сигнатурного метода метод эвристического поиска. Эвристические анализаторы различных продуктов могут работать по-разному. Фактически каждый из них — это know-how той или иной компании. Но вся работа эвристических анализаторов сводится к одному: поиск последовательностей кода (исполняемых команд), характерных для того или иного типа вирусов.

Основной сложностью при реализации алгоритмов эвристического поиска является отсеивание ложных срабатываний. Вроде бы при детектировании вирусов все просто: если программа размножается — значит, это вирус. Остается только написать модуль, который сможет проанализировать предоставляемый код и с высокой долей вероятности определить, не обладает ли код «подозрительными» функциями.

С троянскими программами все намного сложнее. Зачастую даже специалисту по информационной безопасности, бывает тяжело сказать: является данная программа троянской или нет. По какому критерию программа относится к троянской: «если программа делает что-то, о чем пользователь не знает и чего не желает выполнять» или «если программа нарушает логику работы компьютера». Согласитесь — определения весьма расплывчатые. А как же с этой проблемой справиться модулю эвристического поиска, не имеющему человеческого опыта и интеллекта?

Именно из-за описанных выше проблем эвристические анализаторы способны обнаруживать далеко не все вредоносные программы. Для некоторых типов вирусов этот показатель близок к ста процентам — для других же может колебаться в пределах 30-60% (для троянских программ этот показатель всегда ниже, чем для вирусов). Кроме того, эвристические анализаторы могут иногда ошибаться и обзывать вирусами вполне мирные и привычные нам программы — это называется ложным срабатыванием.

Антивирусные продукты, как правило, используют оба метода поиска вирусов, что несколько замедляет их работу, зато увеличивает количество детектируемых вирусов.

Описанные достоинства и недостатки определяют возможности антивирусных продуктов:

• обнаружение и нейтрализация огромной базы (десятки тысяч) известных вирусов и вредоносных программ;
• обнаружение средствами эвристического поиска подозрительных файлов;
• нейтрализация/изолирование зараженных и подозрительных файлов;
• обращение повышенного внимания пользователя на подозрительные вирусы файлы.

Давайте дружить семьями

Итак, подводим итоги. Одно средство защиты не способно перекрыть все секторы безопасности. Рядовой пользователь, не владеющий коммерческой или государственной тайной, при разумном подходе может довериться антивирусным продуктам и целиком на них положиться. Но в случае с корпоративными вычислительными сетями, берегущими свою информацию, картина совершенно иная.

Вирус или вредоносная программа может быть написана специально для них. Учитывая, что злоумышленник может знать, какими антивирусами пользуется компания, он имеет возможность использовать те же программы, чтобы определить, обнаруживается написанный им вирус или нет. Если вирус обнаруживается, злоумышленник продолжает вносить в него необходимые изменения — до тех пор пока вредоносная программа не перестанет детектироваться. Таким образом, всегда остается ненулевая вероятность попадания на ваш компьютер троянской программы или вируса, не обнаруживаемого установленным у вас антивирусом.

Теперь о том, что касается межсетевых экранов. Можете ли вы, работая в глобальной сети Интернет или в вашей локальной сети и защищаясь только межсетевым экраном, быть уверенными, что от вас не уходит ценная информация? Однозначно нет. Зачастую вредоносные программы пересылают злоумышленнику похищенную информацию посредством тех же каналов и протоколов, которые вы сами обычно используете при обмене данными. То есть:

• отправив письмо используемым вами почтовым клиентом;
• открыв используемым вами браузером веб-страницу на специальном сайте и передав туда информацию;
• отправив данные через IRC, ICQ или другие средства связи.

Какую же картину мы наблюдаем? Средства защиты обязательно должны комбинироваться. Каждый продукт должен отвечать за свой сектор комплексной системы защиты информации. Антивирусы пусть обнаруживают уже известные вирусы и обращают внимание пользователя на подозрительные файлы.

Межсетевые экраны пусть разграничивают доступ приложений к локальным и глобальным сетям, а также отслеживают попытки «чужих» приложений обратиться к сети. Пользователь же, работающий с вычислительной системой, должен соблюдать основные принципы безопасной работы, придерживаться рекомендаций специалистов по информационной безопасности и помогать программам, защищающим его систему: обновлять их, следит за их работоспособностью, внимательно относится к поступающим сообщениями о подозрительных действиях. Администраторы, в свою очередь, обязаны максимально ограничивать возможность пользователя активизировать инфицированный или подозрительный файл.

Для корпоративных сетей система защиты информации еще более усложняется. В основном, это происходит из-за необходимости защиты не только и не столько рабочих станций, а еще и серверов различного назначения (почтовых, файловых, веб, внутренних баз данных и др.).

На рисунке ниже приведены основные методы проникновения вирусной угрозы и методы их пресечения. При таком подходе продукты, предназначенные для защиты информации, дополняют друг друга. Кроме того, желательно, чтобы на рабочих станциях и на серверах устанавливались антивирусные продукты различных разработчиков, поскольку чаще всего на маршруте своего следования файлы проверяются, как минимум, дважды — и, чем большим количеством различных антивирусов они будут проверенны, тем выше вероятность детектирования вируса.

Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке программных средств защиты информации. Как правило, требуется создание отдельной организационно-технической системы.

В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего устанавливаемого ПО. Программные средства должны удовлетворять возложенным на них задачам, техническим возможностям защищаемых ПК, а также грамотности пользователей в вопросах антивирусной/сетевой защиты.

Источник: citforum.ru

Что такое межсетевой экран и почему он должен быть сертифицирован ФСТЭК

Как правило у компании имеется внутренняя сеть: маршрутизаторы, компьютеры сотрудников, серверы. В данной сети хранится конфиденциальная информация: данные сотрудников, персональные данные, корпоративная тайна. Внутренняя сеть соединена с глобальным интернетом, и это небезопасно — такое соединение, чтобы похитить данные могут использовать злоумышленники.

Для защиты внутренний сети устанавливают межсетевые экраны — устройства или программы, охраняющие границы корпоративной сети. Поговорим, как они работают и зачем выбирать экраны, сертифицированные ФСТЭК. На межсетевой экран esr-1500 fstec цена напрямую зависит от функциональности и области его применения.

Что такое межсетевой экран

Межсетевой экран (брандмауэр, файрвол, МЭ) — приспособление, которое фильтрует входящий и исходящий сетевой трафик. Он анализирует источник трафика, время передачи, IP-адрес, протокол, частоту сообщений и другие параметры, после чего принимает решение: пропустить или заблокировать трафик.

У межсетевых экранов бывают стандартные настройки — например, он может блокировать все входящие подключения или исходящие пакеты от определенных приложений. Для корпоративных целей экраны, как правило, настраивают дополнительно — задают протоколы, порты, разрешения для приложений. Обычно этим занимается системный администратор или специалист по информационной безопасности.

Классический межсетевой экран не изучает передаваемые данные, не ищет вредоносный код, ничего не шифрует и не расшифровывает. Он работает только с сетевыми параметрами соединения, а точнее — с признаками отдельных IP-пакетов, из которых состоит это соединение, такими как IP-адреса соединяющихся компьютеров и некоторые другие параметры.

Упрощенная схема работы файрвола

Межсетевой экран выступает в качестве барьера между двумя сетями, например, внутренней сетью компании и интернетом. Он защищает от:

1. Несанкционированного доступа из интернета в защищенную сеть. Например, если из интернета придет пакет данных от ненадежного адресата, МЭ его не пропустит.
2. Неконтролируемых сетевых подключений. Если кто-то попытается устроить DDoS-атаку, чтобы уронить серверы компании, МЭ не пропустит все эти пакеты данных.
3. Несанкционированной передачи из защищенной сети в интернет. Например, вирус проник на сервер, собрал данные и пытается отправить их хакеру. МЭ заметит передачу подозрительному адресату и заблокирует ее — данные не утекут в сеть.

Чаще всего межсетевой экран устанавливают на границе корпоративной сети и интернета. Но можно поставить его и внутри корпоративной сети, чтобы создать отдельную, особо защищенную сеть. Например, дополнительно фильтровать трафик к серверам с самыми секретными данными. Кроме того, экран может стоять на отдельном компьютере и защищать только его. В этом случае его иногда называют сетевым (а не межсетевым), однако по классификации ФСТЭК он также будет относиться к межсетевым экранам.

Ниже мы рассматриваем варианты МЭ, которые отражены в документации ФСТЭК — это классические серверные и десктопные экраны. Поэтому мы не рассматриваем все современные варианты МЭ: брандмауэры для смартфонов, средства фильтрации трафика для беспроводных соединений, а также современные устройства для более сложной фильтрации, чем по признакам сетевых соединений (IP-пакетов), такие как DPI.

Итак, переходим к вариантам межсетевых экранов, описанным в документации ФСТЭК.

Какие бывают межсетевые экраны по документации ФСТЭК

Межсетевые экраны бывают 2-ух видов: программные и аппаратные. Выполняют они одинаковые функции, только работают немного совершенно по-разному:

1. Программно-аппаратные комплексы (ПАК), или аппаратные МЭ — специальные устройства или компоненты роутеров, на которых установлено фильтрующее программное обеспечение. Все железо и ПО внутри этого устройства специализировано на фильтрации трафика и нескольких смежных задачах, дополнительные программы на аппаратный МЭ поставить нельзя. Это снижает уязвимость такого устройства к атакам и позволяет обеспечивать защищенность более высокого класса.
2. Программные межсетевые экраны — это программное обеспечение на сервере, которое занимается фильтрацией трафика. По сути, это то же программное обеспечение, что установлено в аппаратном МЭ, но оно устанавливается на сам сервер.

Обычно аппаратные МЭ стоят на границе сети, к примеру, там, где внутренняя сеть будет подключатся к интернету. Программные стоят на узлах самой внутренней сети, другими словами защищают непосредственно серверы и компьютеры.

Аппаратные МЭ дороже, но надежнее, обеспечивают более серьезную защиту. Программные дешевле, но менее надежны — присутствует риск, что трафик от злоумышленника успеет навредить сети. Кроме того, программные межсетевые экраны часто настолько нагружают компьютер, на который установлены, что там ничего больше нельзя установить. Из-за этого для них временами выделяют отдельный сервер — и этот сервер фактически исполняет роль аппаратного межсетевого экрана.

Межсетевой экран можно установить и на облачном сервере. Его можно расположить на границе логической локальной сети в облаке точно так же, как физический МЭ можно разместить на границе физической корпоративной сети. Такой МЭ будет фильтровать соединения на границе виртуальной частной сети.

Кому и зачем нужен межсетевой экран, сертифицированный ФСТЭК

Если компания хранит персональные данные, то, согласно 152-ФЗ, она обязана обеспечить им защиту. Чтобы защищать данные в соответствии с требованиями закона, компании нужно использовать средства защиты, сертифицированные ФСТЭК. Такой сертификат подтверждает, что программа или устройство действительно надежно защищает данные. ФСТЭК сертифицирует в том числе межсетевые экраны — как программные, так и аппаратные.

То есть, если вы храните в базах данных информацию о своих сотрудниках или клиентах, вы работаете с персональными данными, а значит, обязаны обеспечить им защиту. Иногда это подразумевает, что нужно задействовать сертифицированный межсетевой экран ФСТЭК.

Сертификат ФСТЭК также может подтвердить, что МЭ подходит для защиты государственной тайны. Так что компании, которые хранят такие сведения, тоже обязаны использовать только сертифицированные межсетевые экраны.

Если вы не храните персональные данные или гостайну, вовсе необязательно устанавливать именно сертифицированный ФСТЭК межсетевой экран. Однако если вы беспокоитесь о секретности ваших данных, при выборе экрана целесообразно обратить внимание на сертификат — он подтвердит, что выбранный МЭ действительно надежный.

Виды межсетевых экранов по классификации ФСТЭК

Для сертификации межсетевого экрана ФСТЭК определяет его профиль защиты. Профиль нужно знать, чтобы понять, в какой конкретно системе, с какими целями и для защиты каких данных можно использовать этот экран.

К каждому профилю есть конкретные технические требования, а сам профиль зависит от двух параметров: типа МЭ и его класса защиты.

Типы межсетевых экранов по ФСТЭК:

1. «А» — аппаратные, установленные на физических границах сети. Например, программно-аппаратные комплексы в месте физического подключения сети компании к интернету через кабель.
2. «Б» — программные и аппаратные, установленные на логических границах сети, например встроенные в маршрутизатор.
3. «В» — программные, установленные на узлы, например компьютеры сотрудников.
4. «Г» — аппаратные и программные, работающие с протоколами http и https, то есть с веб-трафиком.
5. «Д» — аппаратные и программные, которые работают с промышленными протоколами передачи данных.

Классы защиты межсетевых экранов по ФСТЭК:

• 6 класс — это самый низший класс, подходит для работы с персональными данными 3 и 4 уровня защищенности.
• 5 класс — подходит для работы с данными 2 уровня защищенности.
• 4 класс — подходит для работы с данными 1 уровня защищенности.
• 1, 2 и 3 класс — необходим для работы с гостайной.

Типы и классы защиты не находятся в зависимости друг от друга напрямую. К примеру, может существовать экран типа «А» с 6 классом защищенности или экран типа «В» с 1 классом.

Комбинация типа и класса защиты определяет профиль защиты каждого конкретного межсетевого экрана. И именно от профиля зависят технические требования к МЭ.

Таблица определения профиля защиты межсетевого экрана. Для некоторых профилей нет 1, 2 и 3 уровней защиты — такие экраны не используют для хранения гостайны

Получается, что профилей защиты всего 24. На сайте ФСТЭК выложены требования к 15 профилям — ко всем, кроме тех, что требуют 1, 2 и 3 уровня защиты. Эти профили — закрытая информация, так как они используются для хранения гостайны.

Пример: представим, что компании нужно установить межсетевой экран esr-1000 fstec на компьютер сотрудника. Сотрудник работает с персональными данными третьего уровня защищенности — значит, ей нужен межсетевой экран шестого уровня защиты и типа «В», для установки на узел сети. Это экран с профилем ИТ.МЭ. В6.ПЗ.

Получается, нужно искать межсетевой экран с сертификатом, соответствующим выбранному профилю. Профили более высокого уровня тоже подойдут — например, можно поставить и экран ИТ.МЭ. В4.ПЗ.

Если этой же компании понадобится межсетевой экран на границе сети, это будет уже экран типа «А» и того же шестого уровня защищенности — экран профиля ИТ.МЭ. А6.ПЗ.

Что важно знать о межсетевых экранах, сертифицированных ФСТЭК

1. Межсетевой экран фильтрует трафик — не пропускает подозрительный трафик внутрь защищенной сети и не выпускает его из нее.
2. Межсетевые экраны бывают аппаратные и программные. Аппаратные — отдельные устройства, которые заняты только фильтрацией трафика. Программные — специальное ПО, которое устанавливают на компьютеры и серверы.
3. Если вы храните персональные данные или государственную тайну, то обязаны обеспечить им защиту. Межсетевой экран — одна из таких защитных мер.
4. Для гарантии надежности межсетевого экрана производители получают сертификат ФСТЭК. Только МЭ, сертифицированный ФСТЭК, можно использовать для защиты персональных данных.
5. ФСТЭК делит межсетевые экраны на профили, в зависимости от назначения и уровня защиты, который они обеспечивают. Чем секретнее данные, которые вы храните, тем более защищенный МЭ нужно выбирать.

Источник: komza.ru