Ambrus
-7 °C
3 °C

Kezdjük a vírusokkal II/I.

2004.04.01. 09:29
Korunk informatikai kultúrája, vagy inkább kultúrálatlansága, a technikai és a kommunikációs eszközök többnyire gyenge minősége, a számítógépek Interneten történő összekapcsolása, és az elektronikus levelezés szabályozás nélküli elterjedése olyan helyzetet teremtett, amely láthatóan kedvező környezetet biztosít a károkozó vagy információszerző programok, azaz a számítógépes vírusok szaporodásának, terjedésének.
A "Kinek jó ez az áldatlan állapot és mennyit keres vele?" típusú kérdésre sajnos nem tudjuk a pontos választ, de legalább javaslatot teszünk a kérdés jelen körülmények közötti, műszaki szempontból lehetséges rendezésére. Nem lesz olcsó mulatság, ezt már most eláruljuk.

A vírusvédelmi rendszerrel szemben támasztott követelmények

Az alábbiakban összefoglaljuk azokat az alapvető követelményeket, amelyeket minden újonnan bevezetendő vagy átalakítandó vírusvédelmi rendszerrel szemben támasztani kell ahhoz, hogy a feladatát a jelen körülmények között a lehető legjobban elláthassa:

  1. Minden beviteli ponton és csillagponton védő, egységes, automatikusan frissülő, központilag menedzselhető, automatikus naplózási és riasztási funkciókat teljesítő rendszer legyen.
  2. Az aktív vírusvédelemmel nem rendelkező kliens gépek esetében megoldható legyen a hálózati hozzáférés tiltása.
  3. Több, különböző vírusminta együttes alkalmazása szükséges.
  4. A védelmi szoftvernek jó minőségűnek és kellő gyakorisággal aktualizáltnak kell lennie, hogy felismerési hatékonysága maximális legyen.
  5. A védelmi szoftvernek minden potenciális támadási ponton aktívan üzemelnie kell. A közvetlenül nem potenciális támadási pontokon üzemelő víruskeresők a rendszer redundanciáját - és ezzel üzembiztosságát - növelik, ezzel szemben az általános sebességet csökkentik.
  6. A védelmi szoftvernek minden ponton az adott intézmény informatikai biztonsági stratégiájával összhangban álló konfigurációval kell rendelkeznie.
  7. A kiválasztott vírusvédelmi rendszernek az alábbi keresési menedzsment technológiákat kell ismernie és használnia:
    • Ismert minták keresése: Hagyományos, adatbázis alapján történő víruskeresési technológia.
    • Variációs technológia: Egyes vírusok a hagyományos keresési technológia ellen védekezve a szaporodás során megváltoztatják saját kódjukat. A kódváltoztatások azonban követhető törvényszerűségek alapján működnek, amelyek felismerésére a variációs technológia képessé teszi a víruskereső szoftvert.
    • Heurisztikus keresés: Olyan kódsorozatok utáni keresés, amelyek vírus jelenlétére utalnak, ily módon a korábbról nem ismert vírusok is jó eséllyel megtalálhatók.
    • Virtuális gép módszer: A vírusvédelmi szoftver ún. virtuális gépen, a számítógép memóriájának elkülönített részén indítja a futtatható kódot. Vírusra utaló magatartás esetén a kód a valós gépen nem kerül futtatásra.
    • Makró leltár: A vírusvédelmi szoftver egy makró gyűjteményt tart nyílván, amely tartalmazza azokat a makrókat, amelyek engedélyezve vannak egy szervezeten belül. A nem engedélyezett makrók futtatását a rendszer megakadályozza.
    • Karantén technológia: Olyan esetben, amikor a védelmi szoftver nem tudja eltávolítani a vírust a fertőzött fájlból, lehetőség van az adott fájl elkülönítésére, hogy azt a felhasználók tovább ne használhassák és így a vírus ne tudjon továbbterjedni.
  8. Frissítés az Interneten keresztül: A vírusvédelmi rendszernek rendelkeznie kell egy olyan frissítési megoldással, amely rendszeresen és automatikusan biztosítja a termék aktualizálását, ismeretanyagának naprakészségét. Napjainkban erre a célra leginkább az Interneten keresztül történő frissítés használható. A frissítés lehetőleg ne időzítéssel (pl. naponta egyszer) történjen, hanem letöltése a szoftvergyártó által kiadott frissítés megjelenése után lehetőleg a legrövidebb időn belül automatikusan történjen meg. Ennek egyik módszere, hogy az intézménynél levő vírusvédelmi rendszer szervere folyamatosan figyeli a szoftvergyártó által kiadott frissítéseket és változás esetén automatikusan letölti a szükséges fájlokat.
  9. Távoli telepítés: A vírusvédelmi rendszert, illetve annak frissítéseit vagy saját (beépített) eljárásaival, vagy az informatikai menedzsment rendszer segítségével központi helyről kell telepíteni.
  10. Riasztás: Vírusokkal kapcsolatos események bekövetkeztekor a vírusvédelemért felelős informatikus és a munkaállomások felhasználói számára is üzenetet kell küldeni a feltételezett vírusveszélyről.
  11. Állapot lekérdezés: A vírusvédelmi szoftvernek biztosítania kell, hogy a vírusvédelemért felelős informatikus bármikor lekérdezhesse, hogy a munkaállomásokon működnek-e a vírusvédelmi szoftver megfelelő moduljai, stb.
  12. A kiválasztott vírusvédelmi rendszernek támogatnia kell mindazokat a platformokat, illetve mindazokat a központi alkalmazásokat, amelyeket az informatikai rendszer a felhasználók számára szolgáltatásként nyújt. Ehhez kapcsolódóan elsősorban az Internet hozzáférésre, a levelező rendszerre, a központi dokumentációtárolásra, a titkosító rendszerekre és egyéb irodai alkalmazásokra kívánjuk felhívni a figyelmet. Alapvető elvárás, hogy a vírusvédelmi rendszer megfelelően integrálható legyen ezekkel a kulcsalkalmazásokkal, és rendelkezzen megfelelő modulokkal a különböző operációs rendszerek (mind szerver, mind munkaállomás esetén) számára.
  13. A fenti szempontoknak megfelelően fontossági sorrendben a következő vírusvédelmi rétegek kialakítása szükséges:
    • A legfontosabb a munkaállomások ellenőrzése, mivel ezek jelentik a vírusok által megcélzott elsődleges támadási felületet. A víruskereső szoftvernek minden lehetséges bejutási pontot ellenőriznie kell (floppylemez, CD-ROM, hálózat, e-mail, stb.).
    • A rendszerben működő fájl- és applikációszerverek másodlagos támadási felületet jelentenek. Védelmük jelentős redundanciát visz a rendszerbe, és feltétlenül ajánlott. A telepített víruskeresőnek - a munkaállomásokon futó változathoz hasonlóan - minden lehetséges bejutási pontot ellenőriznie kell (floppylemez, CD-ROM, hálózat, e-mail stb.), különös tekintettel a szerverek rendeltetésszerű használata közben fellépő adatforgalomra (pl.: fájlok forgalmazása, levelezés).
    • A fájlszerverekhez hasonlóan a tűzfalak és a levelező szerverek is másodlagos támadási felületnek számítanak. Ennek megfelelően vírusvédelmi konfigurációjuknak is hasonló módon kell történnie.

A következő részben a víruskeresők működési módjait fogjuk elemezni.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Pihenjen Szép kártyával!

Egy kis lazítás Önnek is jár! Íme a Szép kártya elfogadóhelyek.