Използване на антивирусен софтуер

Антивирусният софтуер се определя като програмен продукт, който изпълнява 

следните функции:

•      

предпазване

 от проникване на вредителски код (чрез електронната поща, 

при навигация в WEB-сайтове, чрез поделени във вътрешната мрежа папки, 
от сменяеми носители или чрез други механизми). За реализация на тази 
своя функция антивирусният софтуер активира резидентен модул (модули), 
който проверява във фонов режим всички отваряни или съхранявани 
файлове, както и стартиращите се приложения. При откриване в тях на 
вредителско съдържание или на потенциално съмнително поведение, той 
може да блокира започнатото действие, да елиминира при възможност 
заплахата и да сигнализира за инцидента потребителите.

•      

търсене

 на вредителско съдържание при явно искане от потребителя чрез 

избор на съответната функция на програмния продукт или при планираното 
му активиране от операционната система при възникване на определените 
за нейния диспечер условия (дата и час, ден от седмицата, първоначално 
зареждане или други системни събития). Тази функция се изпълнява, 
например, след инсталиране върху компютърната система на антивирусния 
софтуер, след обновяване на базата с разпознавани вируси или при поява 
на съмнения за нарушаване на сигурността. Търсенето на вредителско 
съдържание може да обхваща цялата достъпна файлова система, отделни 
папки или файлове в нея или определени системни области.

Характерно за механизма на работа на антивирусния софтуер е, че 

откриването на вредителско съдържание във файлове или в компютърната памет се 
осъществява чрез проверка за срещане в тях на определени

 образци

 (сигнатури, 

signatures, virus definitions). Те се идентифицират и предоставят на потребителите от 
производителя на антивирусния софтуер и тяхното откриване в определени обекти 
дава основание да се смята, че в тях се намира вредителско съдържание (те са 
заразени от определен вирус или друг вредителски код). Честата поява на нови или 
модифицирани представители на вредителския код превръща актуалността на 
разпознаваните сигнатури в основно качество на антивирусния софтуер. Поради 
тази причина оперативността в обновяването на използваните от него дефиниции на 
вируси се превръща в основен критерий за избор в организацията на антивирусен 
софтуер.

За намаляване на зависимостта на действието на антивирусния софтуер и 

степента на защита на сигурността на ИС от актуалността на използваните 
сигнатури на вредителски код, утвърдените доставчици на подобен софтуер (Norton 
Antivirus на Symantec, Panda на Panda Software, F-Secure на McAfee, Kaspersky 
Antivirus и др.) предоставят възможности за

 евристи- чно търсене

 (heuristics). То се 

основава на дефинирани общи правила за съдържанието на вредителския код, 
които са определени чрез изследване на значителен брой негови конкретни 
представители. С помощта на тези правила антивирусният софтуер е в състояние 
да открие вредителско съдържание, за което още не притежава конкретна сигнатура. 
По този начин се ограничава рискът от проникване на новопоявил се вредителски 
код в компютърната система преди създаване, придобиване и инсталиране на 
разпознаваща го еднозначно вирусна дефиниция. Поради свободата при създаване 
на вредителски код, евристич- ните правила не винаги са в състояние точно да го 
идентифицират. В други случаи тяхното прилагане води до определяне като 
вредителски код на приложения, които реално нямат такива характеристики. Тогава 

1

се казва, че антивирусният софтуер изпраща фалшиви сигнали за наличие на 
вредителско съдържание в дадени обекти.

Съвременните антивирусни програмни продукти реализират и друг механизъм за 
откриване на вредителски код, известен като

 блокиране на съдържание

 (behavior 

blocking). Чрез него се проверява дали контролираните обекти осъществяват 
разрушителни или съмнителни действия. При разпознаване на такива операции 
антивирусният софтуер забранява (блокира) тяхното отваряне, съхранение или 
изпълнение.

• отстраняване

 на открит вредителски код в процеса на предпазване от 

проникване или при търсене на вредителско съдържание. Най-добрият 
резултат от подобно действие на антивирусния софтуер е

 възстановяване 

на първоначалното съдържание и пълната функционалност на заразените 
обекти. Тази операция обикновено се нарича

 лекуване

 (healing, disinfection). 

В редица случаи то е невъзможно, например, поради заместване на част от 
съдържанието на заразения обект с вредителския код. Тогава антивирусният 
софтуер отстранява вредителския код като изтрива заразените с него обекти 
или като ги премества под

 карантина

 в специално хранилище (quarantine 

folder, virus vault). Намиращите се в него файлове не могат да се отварят или 
изпълняват, а се съхраняват за изследване на механизмите за заразяване 
или до получаване на актуализирана версия на антивирусния софтуер, която 
може

да ги излекува.

От особено значение за ефикасността на антивирусния софтуер при защитата 

на сигурността на ИС е оперативността на обновяване на използваните от него 

сигнатури на вредителски код. Потребителите обикновено получават нови 

дефиниции като ги зареждат от сайта на доставчика на използвания от тях продукт. 

Такава актуализация може да се осъществи автоматично или при поискване. 

Обновяването при поискване се реализира като в избран от него момент 

потребителят отваря сайта на доставчика или изпълнява съответната функция на 

антивирусния програмен продукт и зарежда и инсталира последните предоставени 

изменения. При автоматичното инсталиране на измененията в антивирусния 

софтуер в началото на деня, в предварително планирано време или по друг график 

се осъществява връзка със сайта на доставчика и се инсталират последните 

актуализации.

От структурна гледна точка популярните антивирусни програмни продукти се 

състоят от следните по-съществени

 компоненти:

• резидентен модул

 (resident shield), осъществяващ функциите по 

предпазване от вредителски код на компютърната система;

скенер за вредителски код

 (virus scanner, engine), реализиращ 

откриването на заразени обекти чрез проверка с помощта на сигнатури, 
евристики, блоки- Р не на съдържание или чрез други механизми;
Държа

ТУРеН ФЗЙЛ (si

9

nature file

- 

virus

 database), съ- дител^и^

6

^

1111

^

16 образци за

 Р

азпознаване на 

вре-

р^ляв

>КЪ

'

5 На обновяването

 (update manager), уп- Щ режима на получаване на 

актуалните версии на антивирусния софтуер, графика за търсене и 

инсталиране на изменения и т.н.

•       

карантинна папка

 (virus vault, quarantine folder), предоставяща 

контролирана среда за съхраняване на заразени или съмнителни обекти, 
които са открити от резидентния модул или скенера за вредителски код и 
не са излекувани. Антивирусният софтуер предоставя възможност да се 
манипулира съдържанието на тази папка, за да се получи информация за 
вида на вредителския код, атакуваните от него обекти и датата на 
поставяне под карантина, да се излекуват от по-усъвършенствани бъдещи 
версии или да се премахнат окончателно от компютърната система;

2

•       

скенер на електронната поща

 (e-mail scanner), съчетаващ функциите 

по предпазване, откриване и отстраняване на вредителски код от 
входящите и изходящите съобщения от електронната поща по прозрачен 
за потребителите начин.

Защитни стени (firewalls)

Защитната стена е съвкупност от технически и програмни средства, чрез която 

се контролират мрежовият трафик и заявките за услуги. Често тя се определя като 
"система или група от системи, които налагат определена политика за контрол на 
достъпа между две мрежи. Нейната цел е да елиминира от входящия и/или 
изходящия потоци тези пакети или заявки, които не отговарят на установените 
критерии за сигурност.

Функциите на защитната стена могат да се изпълняват от софтуер, инсталиран върху 
някоя от работните станции в мрежата (софтуерна защитна стена) или от 
специализирано устройство, предназначено да защитава група от компютри 
(мрежова защитна стена).

Най-простата защитна стена се състои от филтриращ маршрутизатор, който 

отстранява пакети, пристигащи от недопустими възли или желаещи връзка с 
неразрешени портове. В по-сложните реализации, чрез добавяне на т.нар. филтри 
на съдържание (content filters) тя е в състояние да анализира формата и 
съдържанието на постъпващите заявки и да пренасочи някои от тях към сървърите 
на съответните услуги. По такъв начин защитната стена обслужва по-адекватно 
разнородната обменяна информация и реализират по-гъвкави методи за 
филтриране.

Не е достатъчно, например, да се разреши или забрани използването от 

потребителите на корпоративната мрежа на електронна поща, тъй като в някои от 
съобщенията под формата на стандартно прикачени файлове може да се получава 
вредителски код. Подходящи филтри на съдържание могат да проверят тези 
файлове преди да позволят тяхното получаване и отваряне от потребителите.

Други филтри, представяващи допълнения към защитната стена, забраняват 

достъп на потребителите до неподходящо съдържание, постъпващо от външен за 
корпоративната мрежа източник (най-често от Интернет). Те се наричат WEB 
blockers и прилагат за блокиране на съдържанието критерии като тип на файла (не 
се допуска проникване в мрежата на файлове от определени типове, например, 
изпълними програми, в които може да се съдържа вредителски код), размер на 
файла (едновременното получаване на множество съобщения с голям размер може 
да предизвика значително забавяне на съответната услуга за потребителите и да е 
елемент от атака за отказ от обслужване), наличие на нецензурни думи и изрази, 
адреси на WEB стай- тове, до които потребителите не могат да получат достъп, и 
т.н.

Системи за откриване на прониквания (intrusion detection systems, IDS)

Те представляват средства за контрол (мониторинг) на сигурността на ИС, 

който осъществява непрекъснато събиране и проверка на информация, индикираща 
подозрителни действия. При откриване на подобни събития, софтуерът може да 
сиган- лизира системния администратор, както и да предприеме защитни действия - 
блокиране на връзки и услуги, изолация на засегнати системи и т.н.

Откриването на прониквания се основава главно на две технологии - откриване 

на аномалии и разпознаване на образци. Откриването на аномалии използва 
шаблони за "нормално" поведение на мрежи, възли и потребители, за да установи 
значителни различия спрямо тях в текущата ситуация. Конструирането на шаблони 

3