Antivirusinė apsauga

Antivirusinė apsauga
Rekomendacijos valstybės institucijoms

Kompiuterių virusai kelia didelę grėsmę tvarkomos informacijos vientisumui, patikimumui bei išlikimui. Didėjantis informacijos į organizaciją srautas didina tikimybę, kad kartu bus gautos kenksmingos programos – kompiuterių virusai, kurie gali sukelti mažesnius ar didesnius trukdymus, gali ilgam sustabdyti svarbius darbus ar net padaryti nepataisomą žalą. Viena ar keletas atsitiktinai įdiegtų antivirusinių programų neapsaugos nuo nemalonumų, jei organizacijoje nebus suformuota apsaugos nuo virusų strategija.
1. Antivirusinės apsaugos strategija
Organizacija, siekianti apsisaugoti nuo virusinių programų, turi pirmiausia nustatyti antivirusinės apsaugos įgyvendinimo tvarką bei priemones. Ši tvvarka apima ne tik tinkamos antivirusinės programinės įrangos parinkimą ir įdiegimą, bet ir taisyklių suformavimą, jų taikymo, įvertinimo procedūras, bendrąsias nuostatas bei kitas organizacines priemones. Pirmiausia reikia įsisąmoninti, kad informacijos apsauga nėra vien techninis klausimas. Informacija yra organizacijos turtas arba jai patikėtas tvarkyti valstybės turtas. Todėl informacijos saugai turi būti skiriamos lėšos ir administracijos dėmesys (kaip ir kito turto apsaugai). Antivirusinė apsauga yra viena iš organizacijos duomenų apsaugos temų, todėl ji turi būti įtraukta į organizacijos specialiuosius duomenų apsaugos reikalavimus.
Rengiant antivirusinės appsaugos reikalavimus ir įgyvendinimo tvarkos bei priemonių dokumentus turi būti konkretizuoti šie bendrosios duomenų apsaugos klausimai:
 Saugotina informacija
 Leistina programinė įranga darbuotojų kompiuteriuose
 Veiksmai radus neleistiną programinę įrangą ar kitus duomenis darbuotojo kompiuteryje
 Nuobaudos
 Kiekvienos taisyklės taikymo sritis
 Kas atsakingas už taisyklių parengimą
 Kas atsakingas už taisyklių pa

atvirtinimą
 Kas turi konkrečius įgaliojimus ir privilegijas
 Kas suteikia įgaliojimus
 Su saugumu susijusių privilegijų suteikimo ir anuliavimo procedūros
 Saugumo pažeidimų fiksavimo procedūros
 Ypatingi administracijos ir darbuotojų įpareigojimai siekiant saugumo
 Duomenų apsaugos svarbos aiškinimas
 Duomenų apsaugos dokumentų galiojimo ir keitimo datos
 Kas ir kaip įgyvendina duomenų apsaugos tvarką.
2. Duomenų apsaugos tvarkos įgyvendinimo principai
1 principas: Geriausia tvarka nebus veiksminga, jei darbuotojai jos nesupras ar nepriims.
2 principas: Visi darbuotojai turi žinoti, į ką kreiptis su klausimais ar problemomis, ką jie gali daryti ir ko negali, kad būtų kuo mažesnė rizika.
3 principas: Darbuotojų dalyvavimas tvarkos kūrime didina jų suinteresuotumą.
4 principas: Duomenų apsaugos tvarkos pakeitimai turi būti pranešti darbuotojams visomis priemonėmis: skelbimais, elektroniniu paštu, susirinkimuose.
5 principas: Negailėti laiko informuojant naujai priimtus darbuotojus apie nustatytą tvarką.
6 principas: Duomenų apsaugos tvarkos dokumentus pateikti darbuotojams nedidelėmis, lengvai įsimenamomis, informatyviomis dalimis.
7 principas: Kiekviena taisyklė turi būti illiustruota tipiniais veiksmų pavyzdžiais.
8 principas: Neapsunkinti darbuotojų neesminiais reikalavimais.
9 principas: Suformuoti duomenų apsaugos įgyvendinimo komandą ir suteikti jiems reikiamus įgaliojimus, o visiems darbuotojams – visų narių koordinates.
10 principas: Kiekvienas darbuotojas turi pasirašyti, patvirtindamas, kad jis pripažįsta nustatytą tvarką.
3. Antivirusinės apsaugos formavimas
Antivirusinė apsauga būna veiksminga, jei organizacijoje yra suformuluoti realūs ir būtiniausi tikslai, bei numatyta jų pasiekimo taktika. Čia pateikiami rekomenduotini apsaugos nustatymo principai:
1 principas: Antivirusinės apsaugos specialistai
Tikslas: Turėti specialistų grupę, atsakingą už antivirusinę apsaugą.
Veiksmai:
 Iš organizacijos darbuotojų – tinklo administratoriaus, duomenų apsaugos įgaliotinio, sisteminio programuotojo ir pan. – suformuoti an
ntivirusinės apsaugos grupę, atsakingą už antivirusinę apsaugą.
 Apie grupės paskirtį ir sudėtį oficialiai paskelbti, nurodant kiekvieno iš jų telefono numerį (taip pat ir namų).
 Suteikti šios grupės nariams išskirtinį statusą. Visi kiti darbuotojai privalo paklusti jų nurodymams dėl antivirusinės apsaugos.
 Skatinti grupės narius, nes be savo tiesioginio darbo jie dar turi specializuotis papildomoje srityje, o ypatingaisiais atvejais – būti pasiruošę dirbti po darbo ir labai įtemptai.
2 principas: Iðankstinis atsargumas
Tikslas: Stengtis išvengti visų galimų virusinių infekcijų.
Veiksmai:
 Visi prie vietinio tinklo besijungiantys vartotojai privalo savo darbo kompiuteriuose turėti nuolat veikiančią antivirusinę programinę įrangą.
3 principas: Užtikrinti pasirinktosios antivirusinės programinės įrangos veikimą.
Tikslas: Pasirinktoji antivirusinė programinė įranga turi veikti. Nenaudojama programa negalės apsaugoti.
Veiksmai:
 Sistemiðkai tikrinti, ar visose darbo vietose (vietinėse ir tolimosiose) veikia antivirusinė programa.
4 principas: Naujinti, kai tik atsiranda nauja laida, antivirusinę programinę įrangą.
Tikslas: Neprarasti nė vienos galimybės patobulinti programinę įrangą ir taip sustiprinti apsaugą.
Veiksmai:
 Įsigyti antivirusinę programinę įrangą su pastovaus naujinimo galimybe.
 Pasirodžius naujai laidai, nedelsiant naujinti antivirusinę programinę įrangą visuose kompiuteriuose.
 Panaudoti visuose naujuose programiniuose produktuose pridedamas antivirusinės apsaugos priemones.
5 principas: Centralizuota informacija.
Tikslas: Automatiškas ir nedelsiamas pranešimų apie incidentus generavimas ir siuntimas į įgaliotą centrą.
Veiksmai:
 Pasirinkti programinę įranga, kuri turi galimybę generuoti tikrinimo ir incidentų ataskaitas.
 Organizuoti automatišką ataskaitų perdavimą į įgaliotą centrą.
6 principas: Nedelsiamas ir teisingas virusinės programos identifikavimas ir analizė.
Tikslas: Pasirinkti tinkamus kovos su virusine programa veiksmus.
Veiksmai:
 Padaryti vi
irusine programa pažeistos (užkrėstos) rinkmenos kopiją.
 Nuodugnaus tikrinimo programa nustatyti virusinės programos kategoriją, pavadinimą.
 Išnagrinėti visą naujausią informaciją, geriausiai – per Internetą operatyviuoju ryšiu prisijungti prie nuolat veikiančio antivirusinio centro (visi populiariausios antivirusinės programinės įrangos gamintojai organizuoja tokius centrus, taip pat yra visuomeniniai informacijos centrai, pvz., Virus Bulletin, adresas: http://www.virusbtn.com/).
 Jei antivirusinės įrangos įsigijimo sutartyje yra numatytas gamintojo įsipareigojimas ištirti atsiųstus pavyzdžius, išsiųsti kopiją antivirusinės programos gamintojui.
 Atlikti gamintojo rekomenduojamus veiksmus.
7 principas: Panaudoti atsargines kopijas.
Tikslas: Pažeistus CMOS, įkrovio įrašų, sisteminių rinkmenų, programų duomenis atkurti iš atsarginių kopijų.
Veiksmai:
 Periodiškai daryti visų svarbiausiųjų rinkmenų kopijas.
 Po incidento ištrinti pažeistas rinkmenas ir atkurti jas iš atsarginės kopijos. Po atkūrimo atlikti nuodugnų kompiuterio turinio patikrinimą.
8 principas: Apsaugoti serverius nuo virusinėmis programomis užkrėstų rinkmenų.
Tikslas: Nė viena rinkmena su virusine programa negali būti įrašyta, perkopijuota, pervardyta ar paleista iš serverio.
Veiksmai:
 Serveryje įdiegti antivirusinę programinę įrangą, kuri operatyviai nuodugniai tikrintų visas į serverį įrašomas, kopijuojamas ar pervardijamas rinkmenas.
 Antivirusinė serverio įranga turi būti ypač kruopščiai prižiūrima ir naujinama.
 Neleisti įrašinėti vykdomųjų rinkmenų vartotojams pasiekiamuose kataloguose.
9 principas: Atskirti rizikingus vartotojus.
Tikslas: Skirti didesnį dėmesį tiems vartotojams, kurie kelia didesnį pavojų saugumui.
Veiksmai:
 Sukurti atskirą prie vietinio tinklo prisijungiančių rizikingų vartotojų grupę. Į tą grupę turėtų patekti GUEST, SUPERVISOR tipo vartotojai, tie vartotojai, kurie jau bent kartą turėjo virusinių programų.
 Pravesti privalomus apmokymus tiems vartotojams, kurie kartą ja
au turėjo virusinių programų pažeidimų.
10 principas: Vartotojams neleidžiama naudoti jokios neteisėtos programinės įrangos.
Tikslas: Uždrausti neteisėtą programinę įrangą ir taip ne tik užkirsti kelią piratavimui, bet ir sumažinti virusinių programų pavojų.
Veiksmai:
 Patenkinti pagrįstus darbuotojų poreikius programinei įrangai – teisėtai įsigyti visus reikalingus egzempliorius.
 Įspėti darbuotojus, kad negalima naudoti nelegalios programinės įrangos.
 Atlikti darbuotojų kompiuterių patikrinimus ir ištrinti nelegalią programinę įrangą.
11 principas: Darbuotojai yra atsakingi už savo kompiuterio turinio saugumą.
Tikslas: skatinti darbuotojo atsakomybę už jo kompiuterio informacijos saugumą.
Veiksmai:
 Išaiškinti darbuotojui, kad neatsargiai elgdamasis su savo kompiuteriu jis kelia pavojų kitiems kolegoms – per jo aplaidumą gali pražūti vertingas kolegos darbas.
 Skatinti darbuotojo aktyvumą dalyvaujant antivirusinėje organizacijos apsaugoje.
12 principas: Programinės bei techninės įrangos tiekėjai turi būti atsakingi už prekes.
Tikslas: Siekti, kad patikimi šaltiniai netaptų virusinių programų šaltiniais.
Veiksmai:
 Nustatyti tiekėjų atsakomybę, jei jų pateiktuose gaminiuose randamos virusinės programos.
 Nustatyti darbuotojų atsakomybę, jei jų atsineštose į darbą laikmenose randamos virusinės programos.
Pagal organizacijos suformuotą antivirusinės apsaugos strategiją turi būti numatomos ir įdiegiamos procedūrinės bei techninės apsaugos priemones, ugdomi atitinkami darbuotojų įgūdžiai. Visa tai turi būti suderinta ir įgyvendinama, nes nerealūs reikalavimai tik trikdo vartotoją ar veltui gaišina laiką. Taisyklių visuma turi būti nesudėtinga, lengvai įsimenama, o techninės priemonės – antivirusinės programos – parinktos taip, kad būtų atliekamos tik reikalingosios operacijos.
4. Beprasmės taisyklės
Kuo daugiau sukuriama taisyklių, tuo daugiau jų pažeidžiama. Darbuotojas pasimeta tarp daugybės reikalavimų, atsakingasis duomenų apsaugos įgaliotinis nebespėja visko atlikti ir prižiūrėti, dažni veiksmai be akivaizdžių rezultatų nuvertina paties reikalavimo svarbumą. Žemiau išvardintosios taisyklės nėra kenksmingos, tiesiog dažniausiai jos nėra efektyvios arba yra taikomos neteisingai.
1 taisyklė: „nustatytu laiku nuodugniai patikrinkite kompiuterio turinį (scan)”.
Prieðtaravimas:
 Laiko ir pinigų eikvojimas. Paskaičiavus, kiek laiko sugaištama tikrinant kompiuterio kietąjį diską, kiek kartų dėl to tenka atidėti skubius darbus, matyti, kad nepagrįstai dažnas antivirusinės programos naudojimas reikalauja didelių išlaidų.
 Reguliarus nuodugnus tikrinimas neapsaugo nuo virusinės programos plitimo. Galima nuodugniai patikrinti visą kompiuterį, o po minutės gauti laišką su virusine programa ir iki kito užplanuoto nuodugnaus patikrinimo spėti paskleisti tą virusinę programą ar nuo jos smarkiai nukentėti.
 Jokia nuodugnaus tikrinimo programa negali aptikti visų egzistuojančių virusinių programų. Naujai sukurtos virusinės programos lieka neaptiktos.
 Nuodugnus tikrinimas gali net labiau paskleisti virusines programas. Daug virusinių programų pradeda veikti rinkmenos atidarymo, uždarymo, katalogo peržiūrėjimo metu – visa tai daro nuodugnaus tikrinimo programa. Taigi, jei virusinė programa yra rezidentinė ir kompiuterio turinio nuodugnaus tikrinimo programa jos neaptiko, tai ši programa savo veikimo metu tiesiog išplatins tą virusinę programą.
 Su kiekvienu nuodugniu tikrinimu, neaptinkančiu jokių virusinių programų, gali didėti darbuotojo nepasitikėjimas duomenų apsaugos reikalavimais arba virusų pavojaus realumu. Darbuotojas turėtų sąmoningai įprasti saugoti savo kompiuterio turinį, o ne vykdyti nuobodžias operacijas.
Komentarai:
Nuodugnūs kompiuterio turinio tikrinimai, kai jie yra atliekami nereguliariai, iškilus poreikiui ar įtarimams, kad atsirado virusinė programa, yra daug prasmingesni, nei reguliarūs.
2 taisyklė: „kiekvieną dieną atlikite nuodugnų serverio patikrinimą (scan)”.
Prieðtaravimas:
 Kasdieniniai serverio nuodugnūs tikrinimai sąlygoja tas pačias problemas, kaip ir reguliarūs darbo vietų kompiuterių nuodugnūs tikrinimai.
 Laiko ir lėšų eikvojimas
 Nuodugnus turinio tikrinimas gali neapsaugoti nuo virusinės programos plitimo.
 Nuodugnus turinio tikrinimas gali neaptikti visų virusinių programų.
 Nuodugnus turinio tikrinimas gali išplatinti virusinę programą.
 Sistemos administratorius, prižiūrintis serverį, yra pakankamai sąmoningas, kad žinotų, kada reikia atlikti nuodugnų tikrinimą.
 Svarbiausiosios (sisteminės) rinkmenos gali likti nepatikrintos. DOS nuodugnaus tikrinimo programos negali patikrinti svarbiausiųjų sisteminių rinkmenų, nes tikrinimo metu jos yra atidarytos. Atidarytos rinkmenos nėra pažeidžiamos virusinėmis programomis, tačiau jos galėjo būti pažeistos tuo metu, kai jos buvo uždarytos.
 Virusinė programa gali pasklisti po vietinį tinklą per kelias sekundes. Tokiu atveju nuodugnus serverio tikrinimas bus pavėluotas. Netgi kas pusvalandį atliekamas nuodugnus turinio tikrinimas gali būti pavėluotas.
Komentarai:
Paskutinysis argumentas yra esminis pagrindžiant kasdienio nuodugnaus serverio tikrinimo beprasmiškumą. Deja, jei nenaudojamos kitos apsaugos priemonės, serveryje esančios virusinės programos gali pasklisti po visą vietinį tinklą periodais tarp reguliarių nuodugnių tikrinimų. Jei serveris buvo išvalytas nuo visų organizacijoje pasklidusių virusinių programų, tai periodiški nuodugnūs tikrinimai galės tik patvirtinti faktą, kad tikrinimo metu konkrečioje laikmenoje arba nėra, arba yra virusinių programų. Jei nuodugnaus tikrinimo programa sugeba pašalinti aptiktąją virusinę programą, tai verta dar kurį laiką periodiškai atlikti nuodugnius laikmenos tikrinimus, tačiau virusinių programų išplitimo ši priemonė nesustabdys.
Nuo virusinių programų plitimo iš serverio gali apsaugoti tik kiekvienoje darbo vietoje įdiegta sauganti programa, kuri įspėja ar blokuoja tuo momentu, kai tik pradedamas darbas su virusine programa užkrėsta rinkmena. Taip pat kiekviena kopijuojama (iš arba į) serverį rinkmena turėtų būti nuodugniai patikrinta rezidentine nuodugnaus tikrinimo programa, tai užkirstų kelią tolimesniam viruso plitimui. Serverio programinė įranga turėtų dar kartą patikrinti kiekvieną vartotojo rinkmeną, kurią jis paleidžia vykdyti, nes pravartu dubliuoti vykdomųjų rinkmenų tikrinimą.
3 taisyklė: „negalima atsinešti savo nešiojamųjų laikmenų su programine įranga”
Prieðtaravimas:
 Praktiškai neįgyvendinama taisyklė, galinti paveikti neigiamai darbuotojo nuotaikas ir aktyvumą.
 Darbuotojas gali laikytis šio reikalavimo, bet tuo pačiu metu – atsinešti laikmeną tik su paprastomis rinkmenomis, be programinės įrangos, ir – paskleisti įkrovio virusinę programą.
Komentarai:
Būtent neaiškios kilmės laikmenos yra virusinių programų šaltinis, visi atsineštiniai diskeliai ir diskai yra įtartini, tačiau liepimas nuodugniai juos patikrinti prieš pradedant juos naudoti nėra realus, darbuotojas nepajėgs to daryti visada. Ðiuo atveju labiau padėtų automatiškas tikrinimas, atliekamas su rezidentine programa, bet ir to, kaip vėliau pamatysime, dar neužtenka.
Didžiausia problema yra ta, kad diskelis gali atrodyti tuščias – nė vienos rinkmenos – tačiau tuo pat metu jame gali būti bet kuri iš daugelio virusinių įkrovio programų. Taigi draudimas atsinešti programas nesukliudo virusinių įkrovio programų platinimui.
Kol nešiojamų laikmenų įrenginiai yra veikiantys, tol jie lieka realiais virusinių programų platinimo taškais.
4 taisyklė: „visos į organizaciją atneštos nešiojamos laikmenos pirmiausiai turi būti patikrintos specialiame tikrinimo tikslams skirtame kompiuteryje”.
Prieðtaravimas:
 Darbuotojai nesugebės kiekvieną kartą eiti prie tikrinimo kompiuterio ir tikrinti kiekvieną laikmeną. Net jei darbuotojas dirba tikrinimo kompiuteriu, jis kada nors nepatikrins bent vieno iš savo diskelių.
 Nuodugnus tikrinimas negali aptikti visų egzistuojančių virusinių programų. Net pati naujausia nuodugnaus tikrinimo programos versija gali praleisti šimtus virusinių programų.
 Tikrinimo kompiuteris gali tapti virusinių programų platinimo vieta. Toks viešai prieinamas kompiuteris yra ypatingai pažeidžiamas, todėl ir potencialiai pavojingas.
 Diskelis, patikrintas tikrinimo kompiuteryje, gali būti pažeistas kitame kompiuteryje tūnančia virusine programa. Taip išankstinis diskelio tikrinimas tampa visiškai beprasmiu.
Komentarai:
Teiginys, kad diskelio įrašymo operacijos užblokavimas padeda išvengti virusinės programos įsiskverbimo, nėra visada teisingas, kadangi įrašymo blokavimo mechanizmas gali nesuveikti ir į diskelį gali būti įrašyta viskas, ką nurodys vartotojas, o gal ir virusinė programa. Kai kurie galvoja, kad naudodami diskelius su įrašymo užblokavimu jie apsaugos savo kompiuterį nuo virusinių programų. Tačiau tik diskelio skaitymo užblokavimas gali apsaugoti, o įrašymo užblokavimas apsaugo tik patį diskelį nuo virusinių programų plitimo, taip pat bus apsaugota ir pati virusinė programa, jei antivirusinė programa bandys ją iš diskelio ištrinti.
Kadangi įrašymo užblokavimas yra tik diskelio būsena, o ne savybė, tai ir užblokuotas įrašymui diskelis gali būti su virusine programa, – tiesiog ta virusinė programa pateko į diskelį dar prieš nustatant įrašymo blokavimo plokštelę.
Taigi atskiro tikrinimo kompiuterio naudojimas yra neveiksmingas ir vargingas.
5 taisyklė: „nuodugniai patikrinkite (scan) naują programą prieš ją įdiegdami”.
Prieðtaravimas:
 Nuodugnaus tikrinimo programa gali neaptikti programinės įrangos pradinėse rinkmenose glūdinčios virusinės programos. Beveik visos įdiegiamos programos vykdomosios rinkmenos yra suspaustos, todėl tikrinimo programa gali neatpažinti konvertuotų duomenų.
 Tikrinimo programa gali praleisti naujas virusines programas net jei jos yra nekonvertuotos.
Komentarai:
Daugiau naudos būna, jei nuodugnus patikrinimas būna vykdomas po programos įdiegimo. Tada, jei atsiradusi virusinė programa įsiskverbė į kitas kompiuterio rinkmenas, tai tokius atvejus galima aptikti nuodugniai tikrinant kompiuterio turinį.
Patikimiausias būdas apsisaugant būtų tokia veiksmų seka: patikrinti diskelius su įdiegtinomis programomis, prieš diegiant patikrinti savo kompiuterį, įdiegti naują programą, paleisti ją, įvykdyti keletą kitų programų ir vėl patikrinti savo kompiuterį. Šis galutinis tikrinimas, ypač po kompiuterio perkrovimo teikia daugiausia galimybių aptikti virusinę programą.
6 taisyklė: „negalima nieko atsisiųsti iš Interneto viešųjų sričių”.
Prieðtaravimas:
 Internetas nėra vienintelis pavojaus šaltinis.
 Internete galima rasti daug vertingos informacijos ir programų.
Komentarai:
Yra programų ir jų šaltinių autentifikavimo priemonės – skaitmeniniai sertifikatai. Naudojantis šia apsaugos priemone galima drąsiai atsisiųsti bet kokią rinkmeną, kai jos nepažeistumas ir tikrumas yra užfiksuotas patikimu skaitmeniniu sertifikatu arba sritis, iš kurios imama informacija, yra sertifikuota. Informacijos iš Interneto atsisiuntimo atsisakymas ypatingai nesustiprins apsaugos (tada jau verčiau visai nesinaudoti Internetu), o tik vargins darbuotojus.
7 taisyklė: „pastebėkite virusinių programų veikimo požymius”
Prieðtaravimas:
 Dauguma virusinių programų neturi jokių veikimo požymių, tik pastebimus rezultatus. Todėl prašymas stebėti situaciją ieškant virusinių programų požymių sukels daugiau klaidingų pavojaus signalų nei suteiks tinkamą saugumą. Nereikalingas pavojaus skelbimas atbukina ir trukdo laiku imtis kontrpriemonių.
 Reikalavimas, kad darbuotojai dairytųsi virusinių programų požymių sukelia jiems nereikalingą įtampą arba trukdo jų darbo našumui.
Komentarai:
Ne visada galima atskirti virusinės programos požymius nuo aparatūrinių trikdžių. Yra virusų, kurie sukeičia lygiagrečiuosius prievadus ir trukdo spausdinti, išduoda atminties lyginumo klaidas, nebeleidžia naudotis nuosekliaisiais prievadais ir pan. Pavojingos virusinės programos negali turrėti ypatingų veikimo požymių, kitaip jos tiesiog būtų išnaikintos tik pradėjus joms veikti ir negalėtų labai paplisti.
Kai kuriuos virusinių programų veikimo požymius būtina žinoti, bet tuo turėtų užsiimti sistemos administratorius ar duomenų apsaugos įgaliotinis.
8 taisyklė: „kopijuojamas rinkmenas turi tikrinti rezidentinė virusų tikrinimo programa”
Prieðtaravimas:
 Rezidentines virusų tikrinimo programas lengvai gali nuslopinti vartotojas arba virusinė programa. Daug virusinių programų turi šių programų nuslopinimo komandas. Tačiau tai, ko nepadaro virusinė programa lengvai padaro vartotojas. Daugelis vartotojų įtardami, kad rezidentinė antivirusinė programa kliudo kitoms programoms arba sunaudoja per daug atminties lengva ranka ją užbaigia ir vėliau pamiršta ją pasileisti arba visai atsisako rezidentinės programos. Kartais taip atsitinka netyčia arba dėl programos trikdžių.
 Paprastai rezidentinės virusų tikrinimo programos nefiksuoja slaptųjų (stealth) virusinių programų, jei jos yra rezidentinės. Visos slaptosios įkrovio ir dauguma kitų slaptųjų virusinių programų pasikrauna anksčiau nei rezidentinė virusų tikrinimo programa ir taip išvengia demaskavimo.
 Dauguma rezidentinių virusų tikrinimo programų, pajėgių aptikti daugumą virusų, dėl savo apimties reikalauja daug atminties, porcijomis skaitant iš disko jos veikimas labai sulėtėja. Tik keletas rezidentinių virsusų tikrinimo programų gali fiksuoti polimorfinių virusų programas.
 Rezidentinė virusų tikrinimo programa, kuri trukdo vartotojui, bus paprasčiausiai pašalinta neatsižvelgiant į tai, kad ji trukdo ir virusinėms programoms. Jei rezidentinė virusų tikrinimo programa sulėtina rinkmenos kopijavimą 3 kartus, tai vartotojas pasirinks nesaugią, tačiau nervų negadinančią išeitį – nebesinaudos rezidentine virusų tikrinimo programa.
Komentarai:
Patikslinsime rezidentinės virusų tikrinimo programos sąvoką. Čia kalbama apie įprastą virusinių programų nuodugnaus tikrinimo programą, pastoviai reziduojančią atmintyje. Čia neneigiamas rezidentinės antivirusinės programos būtinumas, o aiškinama, kad toks virusų tikrinimo programos panaudojimas nėra absoliuti išeitis. Rezidentinėms funkcijoms atlikti yra visai kitokio pobūdžio antivirusinės programos, priskiriamos monitoringo kategorijai. Tai virusinės programos blokatoriai, skirti virusinės programos pasireiškimams sekti ir vartotojams įspėti, atributų stebėjimo programos, euristiniai sektorių analizatoriai ir t.t. Jei nuodugnaus virusų tikrinimo programa yra rezidentinė, tai reikia susitaikyti su mintimi, kad ji tikrai neanalizuos ir neieškos visų 10000 virusinių programų, o geriausiu atveju (jei ji pastoviai atnaujinama) tikrins pagal epidemijų sąrašus (viruses in wild – “laukiniai virusai”, t.y. paplitę, fiksuoti virusai).
9 taisyklė: „darbuotojas turi periodiškai daryti savo rinkmenų kopijas”
Prieðtaravimas:
 Atsarginių kopijų darymas yra organizacijos pareiga. Darbuotojų darbo vietose – kompiuteriuose – esanti informacija yra organizacijos nuosavybė, taigi ji ir turi tuo rūpintis.
 Neįmanoma, kad kiekvienas darbuotojas turės tam skirtas priemones – juosteles ar diskus.
 Kopijos, kopijavimo programa, kopijuojamos rinkmenos gali būti pažeistos virusinėmis programomis.
Komentarai:
Atsarginių kopijų darymas yra nuobodžiausia, tačiau efektyviausia duomenų apsaugos priemonė. Todėl ji turi būti pavesta atsakingam darbuotojui – sistemos administratoriui ar duomenų apsaugos įgaliotiniui – kuris turės atitinkamas priemones, patirtį ir įgūdžius.
10 taisyklė: „aptiktą virusinę programą reikia nedelsiant paðalinti”.
Prieðtaravimas:
 Yra atvejų, kai virusinės programos šalinimas padaro daugiau žalos nei pati virusinė programa. Duomenys pražūsta be jokios vilties juos atgaminti.
 Atsakingasis organizacijos darbuotojas – sistemos administratorius ar duomenų apsaugos įgaliotinis – turi sužinoti visus virusinių programų fiksavimo atvejus.
Komentarai:
Viena firma, ðalindama Michelangelo, sugadino visą kietąjį diską, nes antivirusinė programa ištrynė įkrovio sektorių. Dažni atvejai, kai antivirusinė programa ištrina visą makrovirusų turinčią doc tipo rinkmeną. Bet kuriuo atveju aptikus virusinę programą reikia pirmiau viską apie ją išsiaiškinti, o tik po to imtis atitinkamų priemonių – ir visa tai gali atlikti tik specialistas.
11 taisyklė: „yra daug patikimiau, kai vienu metu naudojamos kelios antivirusinės programos”
Prieðtaravimas:
 Antivirusinės programos iš skirtingų firmų nėra suderintos, todėl viena kitai gali kelti netikro pavojaus signalus. Pavyzdžiui, viena antivirusinė programa palieka atmintyje nuodugnaus tikrinimo šablono fragmentą, o kita tai fiksuoja jau kaip virusinę programą.
 Antivirusinės programos, kurios „paskiepija”, įjungdamos pasitikrinimo modulius, gali neleisti viena kitai to daryti.
12 taisyklė: „kiekvienas darbuotojas turi įgyti profesonalius kovos su virusais įgūdžius”.
Prieðtaravimas:
 Darbuotojas turi žinoti du dalykus: mokėti dirbti su antivirusine programa ir žinoti, ką daryti aptikus virusinę programą.
 Organizacijos duomenų apsaugos specialistai turi nuolatos tobulinti savo žinias.
Komentarai:
Vietoj išsamių visų darbuotojų apmokymų reikia diferencijuotai apmokyti darbuotojus: duomenų apsaugos specialistai ir sistemos administratorius privalo organizuoti apsaugą ir imtis priemonių pavojaus atvejais, kiti darbuotojai – turi gerai įsisavinti nustatytas taisykles, mokėti dirbti su įdiegtąja antivirusine programine įranga ir žinoti, kokių veiksmų griebtis, atsiradus įspėjimui apie virusinės programos buvimą.
5. Antivirusinės apsaugos priemonės
Organizacijos, besirūpindamos savo duomenų apsauga, turi rimtai pasirinkti ir įgyvendinti apsaugos nuo kompiuterių virusų priemones. Šios priemonės, kaip ir kitais duomenų apsaugos atvejais, turi būti apsvarstytos, kompleksinės ir efektyvios. Visa tai turi diktuoti konkretūs institucijos apsaugos principai.
5.1 Antivirusinės apsaugos metodai
Kovos su virusinėmis programomis metodai yra šie:
 virusinių programų susekimas (detection)
 virusinių programų nustatymas (identification)
 virusinių programų pašalinimas (removal)
Šių metodų realizavimo priemonės yra:
 virusinės programos ženklo (signature) ieðkojimas ir algoritmo susekimas – nuodugnaus tikrinimo programa (scanner)
 bendrojo monitoringo programa (general purpose monitor)
 vartojimo kontrolės filtras (access control shell)
 kontrolinės sumos (checksums)
 euristinė dvejetainė analizė (heuristic binary analysis)
 tiksli identifikacija (precise identification)
 konkrečios virusinės programos nukenksminimas (single-virus disinfector)
 bendros nukenksminimo programos (general disinfecting programs)
 kiti būdai
5.1.1 Nuodugnaus tikrinimo programos
Nuodugnaus tikrinimo programų privalumai:
 Laiku atnaujinamos programos gali aptikti iki 95% egzistuojančių virusinių programų.
 Aptinkami ir virusine programa pažeisti duomenys ir pačios virusinės programos.
 Programoje veikia efektyvūs algoritmai, naudojama įrodyta technologija.
 Efektyviam nuodugnaus tikrinimo programos panaudojimui nereikia specialių žinių apie kompiuterį.
Nuodugnaus tikrinimo programų trūkumai:
 Aptinka tik tas virusines programas, kurios yra įtrauktos į tos programos žinių bazę. Vartotojas susidaro klaidingą įspūdį, kad jei virusinių programų neaptikta, tai jų ir nėra.
 Programa nuolat turi būti naujinama, todėl jos efektyvumas mažėja dėl galimų pavėlavimų, be to tam reikia skirti specialaus laiko.
 Nuodugnaus tikrinimo programa neatlieka tikslios identifikacijos, dėl to būna apgaulingų pavojaus signalų ir neteisingai nustatytų virusinių programų.
5.1.2 Monitoringo programos
Monitoringo programų privalumai:
 Operatyviai aptinka virusines programas pagal jiems būdingus pasireiđkimo poţymius.
 Nereikia daţnai naujinti.
 Gali aptikti naujus virusus (kurių neaptiko nuodugnaus tikrinimo programa), ypač jei jų sukūrimui panaudota žinoma technika.
 Dažnais pavojaus signalais (net ir nepasitvirtinusiais) lavina antivirusinės apsaugos komandŕ.
Monitoringo programų trūkumai:
 Nesignalizuoja apie virusinę programa, jei ši neatlieka įtartinų vieksmų.
 Dažni melagingi pavojaus signalai, nes įtartini veiksmai dažnai nepasitvirtina.
 Virusinė programa gali nuslopinti monitoringo programos veiklŕ vartotojui apie tai nieko neţinant.
5.1.3 Naudojimo kontrolės filtrai
Naudojimo kontrolės filtro privalumai:
 Įgyvendina organizacijos resursų naudojimo saugumo taisykles.
 Operatyviai aptinka virusines programas pagal jų pastangas naudoti uždraustus resursus.
 Nereikia daţnai naujinti.
Naudojimo kontrolės filtro trūkumai:
 Sudėtingas nustatymo procesas: naudojimo kontrolės lenteles reikia perkurti po kiekvieno naujos programinės įrangos įdiegimo.
 Nesignalizuoja apie virusines programas, jei jos dauginasi nekontroliuojamos naudojimo kontrolės lentelėmis.
 Reikalauja daugiau pradinių išlaidų, priežiūros, specifinės aparatūros.
5.1.4 Kontrolinės sumos
Vykdomųjų rinkmenų modifikacija aptinkama pasikeitus jų kontrolinėms sumoms. Deja, šis metodas netinka, jei programa pati save modifikuoja. Šis metodas labiau tinka siunčiant duomenis atviraisiais tinklais arba saugant nemodifikuotinus duomenis. Sudėtingesnė, bet patikimesnė šio metodo realizacija yra skaitmeninis rinkmenos parašas, kurio dėka ne tik aptinkamos nepageidaujami duomenų pakeitimai, bet ir nustatoma šios rinkmenos kūrėjo tapatybė (autentifikacijos procesas).
Kontrolinių sumų taikymo privalumai
 Patogi ir labai veiksminga informacijos apsaugojimo priemonė, nes pastebimas bet koks pakitimas.
 Nereikia naujinti.
 Gali aptikti naujas virusines programas (kurių neaptiko nuodugnaus tikrinimo programa).
Kontrolinių sumų taikymo trūkumai
 Netinka vykdomųjų besimodifikuojančių rinkmenų apsaugai.
 Nenustato virusinės programos, tik signalizuoja apie neleistinus pakitimus.
 Nesignalizuoja, jei pradinis modulis (prieđ siuntimŕ, saugojimŕ) jau buvo paţeistas virusine programa.
5.1.5 Euristinė dvejetainė analizė
Euristine dvejetaine analize vadinamas metodas, kai analizuojama vykdomoji rinkmena ieškant įtartino, virusinės programos veiksmus primenančio elgesio požymių., t.y. ieškoma virusinėms programoms būdingų operacijų kodų.
Euristinės analizės privalumai:
 Gali aptikti naujas virusines programas (kurių neaptiko nuodugnaus tikrinimo programa).
Euristinės analizės trūkumai:
 Galimi netikro pavojaus signalai.
 Rezultatų analizė reikalauja įgudusio vartotojo.
 Užima daug laiko.
5.1.6 Tiksli identifikacija
Nuodugnaus tikrinimo programos taiko bendrą virusinės programos nustatymo metodą ir identifikuoja virusinę programą pagal jai būdingą simbolių eilutę (parašą). Tačiau tokį požymį gali turėti įvairios tos programos atmainos. Norint tiksliau nustatyti, kokia yra aptikta virusinė programa, reikia ištirti daugiau, nei pavyzdinį fragmentą. Tam nereikalinga visa virusinių programų bazė, o panaudojamas vadinamasis „virusų planas”, kuriame yra pastoviųjų virusinės programos dalių kontrolinės sumos.
Tikslios identifikacijos privalumai:
 Nesudėtingas panaudojimas.
 Padeda išvengti rizikos šalinant virusinę programą.
Tikslios identifikacijos trūkumai:
 Lėtai veikia.
 Negali aptikti naujų virusinių programų.
 Reikia dažnai naujinti.
5.1.7 Virusinės programos nukenksminimas
Virusinės programos nukenksminimas reiškia, kad reikia pašalinti virusinės programos padarytus pakeitimus, atkurti būseną iki virusinės programos atsiradimo. Patikimiausiai tokiu atveju veikia konkrečios virusinės programos pašalinimo programa. Tokios programos sukuriamos epideminio virusinių programų siautėjimo metu. Patikimas virusinių programų nukenksminimas įmanomas tik tuo atveju, jei yra tiksliai žinomas virusinės programos veikimo algoritmas ir nėra negrąžinamai sugadintų duomenų. Taip pat tiksliosios identifikacijos būdu turi būti neklystamai nustatyta virusinė programa.
5.1.8 Kiti būdai
Paminėtini dar keletas retesnių antivirusinės apsaugos būdai: bendros pagalbinės programos, sugebančios pašalinti virusinę programą (system utilities) ir „paskiepijimas”.
Bendros pagalbinės programos (pvz., Norton Utilities) anksčiau buvo bene vienintelė priemonė, gelbstinti nuo virusinių programų. Tačiau smarkiai pagausėjusi virusinių programų įvairovė reikalauja sudėtingesnių sprendimų.
„Paskiepijimo” būdas reiškia, kad nuo konkrečių virusinių programų galima apsiginti įdiegus vykdomojoje rinkmenoje virusinės programos atpažinimo operacijų kodus. Šis būdas tinka tik tais atvejais, kai organizacijoje nenmaldomai siautėja konkreti virusinė programa.
5.2 Antivirusinės programinės įrangos parinkimo kriterijai
Antivirusinės apsaugos priemonės parenkamos pagal specialiuosius saugumo reikalavimus, suformuluotus pagal organizacijos darbo specifiką bei poreikius. Efektyviausiai veikia įvairių priemonių kombinacija. Populiariausia rinkoje antivirusinė programinė įranga yra sukomponuota iš kelių priemonių, todėl belieka pasirinkti tinkamiausią variantą. Reikia suformuluoti įrangos parinkimo kriterijus ir juos taikyti gaminių pasiūlai.
Rekomenduojami šie esminiai reikalavimai, kuriuos turėtų tenkinti veiksminga ir naudinga programinė antivirusinė įranga:
1 reikalavimas: Programa turi veikti be vartotojo įsikišimo.
Antivirusinė programinė įranga turi būti sukonfigūruojama taip, kad apsieitų be vartotojo veiksmų. Vartotojai ne visada įstengia atlikti tuos veiksmus, kuriuos jie ketina. Apsirikimai gali atnešti daugiau žalos nei naudos. Jei vartotojui suteikiama per daug laisvės, prarandamas rezultatų patikimumas. Programa turi atlikti tai, kam ji yra skirta, be papildomų nurodymų.
2 reikalavimas: Nepastebimas veikimas.
Programa turi veikti nepastebimai vartotojui, tačiau pastebimai virusinėms programoms. Programa neturi kliūdyti vartotojo darbui, jo naudojamoms programoms, turi užimti nedaug atminties, greitai pasikrauti, sparčiai veikti. Kompiuterio veikimas neturėtų akivaizdžiai pasikeisti po antivirusinės programos įdiegimo.
3 reikalavimas: Taisyklių ir programinės įrangos susiejimas.
Antivirusinės taisyklės turi būti realizuotos programoje, o ne paliktos vartotojo atsakomybei. Negalima tikėtis, kad vartotojas neužsimirš ar sugebės pastoviai vykdyti visus reikalaujamus veiksmus. Neverta švaistyti lėšų ir visus darbuotojus apmokyti taip, kad jie sąmoningai vykdytų apsaugos veiksmus. Programinė įranga turi vienodai apriboti visų darbuotojų veiksmus taip, kaip to reikalauja nustatytieji saugumo reikalavimai.
4 reikalavimas: Automatiškas įdiegimas ir naujinimai per tinklą.
Negalima gaišti bėgiojant nuo kompiuterio prie kompiuterio ir įdieginėjant ar naujinant programinę įrangą. Jei organizacijoje yra vietinis tinklas, tai reikia naudotis visais jo privalumais.
5 reikalavimas: Automatiðkas informavimas.
Programinėje įrangoje turi būti galimybė nedelsiant pateikti į vieną centrinį kompiuterį visų vartotojų pranešimus apie incidentus.
6 reikalavimas: Savianalizė.
Programa turi atlikinėti savianalizę ir, esant būtinybei, pati save pataisyti.
7 reikalavimas: Komponavimas
Programa turi būti komponuojama, kad būtų galima sukonfigūruoti įvairius sprendimus pagal skirtingus vartotojo, techninės įrangos, taisyklių reikalavimus.
8 reikalavimas: Įvairialypė realizacija.
Jei organizacijoje veikia kelios skirtingos operacinės sistemos, tai turi būti atitinkamos programos versijos.
6. Bendrieji patarimai
Žinant, kad virusinių programų įvairovė sparčiai gausėja, antivirusinės apsaugos strategiją reikia dažnai peržiūrinėti ir papildyti. Internete galima rasti daug naudingos ir naujausios antivirusinės apsaugos informacijos ir patarimų. Neabejotinai vertingi konsultacijų šaltiniai yra šie:
1. Valstybinė duomenų apsaugos inspekcija, adresas: http://www.is.lt/dsinsp/
2. JAV NIST instituto rekomendacijos A Guide to the Selection of Anti-Virus Tools and Techniques, adresas: http://csrc.nist.gov/nistpubs/select/
3. Antivirusinės programinės įrangos gamintojų viešieji informaciniai centrai. Visi populiariausios antivirusinės programinės įrangos gamintojai viešai skelbia aktualią ir išsamią informaciją apie naujausias virusines programas, kovos su jomis būdus, tvarko enciklopedines virusinių programų bazes.
4. Visuomeniniai antivirusiniai centrai, pvz., Virus Bulletin, adresas: http://www.virusbtn.com/, Hamburgo universiteto Virus Test Center, adresas http://agn-www.informatik.uni-hamburg.de/vtc/, The Network Security International Association, adresas http://www.netsec-intl.com/.
5. Įsigytosios antivirusinės programinės įrangos gamintojo pagalba ir konsultacijos. Legaliai įsigytos programinės įrangos privalumas yra tas, kad gamintojas įvairiais būdais padeda spręsti visas iškylančias problemas.

Leave a Comment