A vírusvédelem kritériumai

Az idei nyári példátlan vírusroham óta egyre többen figyelnek fel az információbiztonság fontosságára. Néhány szóban ismertetjük a víruskeresőkkel szemben támasztott legfontosabb követelményeket.

Korunk informatikai kultúrája vagy inkább kulturálatlansága, a technikai és a kommunikációs eszközök többnyire gyenge minősége, a számítógépek összekapcsolása az interneten keresztül és az elektronikus levelezés szabályozás nélküli elterjedése olyan helyzetet teremtett, amely láthatóan kedvező környezetet biztosít a károkozó vagy információszerző programok, azaz a számítógépes vírusok szaporodásának, illetve terjedésének. A "Kinek jó ez az áldatlan állapot, és mennyit keres vele?" típusú kérdésre sajnos nem tudjuk a pontos választ, de legalább javaslatot teszünk a kérdés - jelen körülmények közötti - műszaki szempontból lehetséges rendezésére. Nem lesz olcsó mulatság, ezt már most eláruljuk.


Követelményrendszer

Az alábbiakban azokat az alapvető követelményeket foglaljuk össze, amelyeket minden újonnan bevezetendő vagy átalakítandó vírusvédelmi rendszerrel szemben támasztani kell ahhoz, hogy a feladatát a jelen körülmények között a lehető legjobban elláthassa:

1. Minden beviteli ponton és csillagponton védő, automatikusan frissülő, központilag felügyelhető, egységes, automatikus naplózási és riasztási funkciókat teljesítő rendszernek kell lennie.
2. Az aktív vírusvédelemmel nem rendelkező ügyfélgépek esetében meg kell tiltani a hálózati hozzáférést.
3. Több, különböző vírusminta együttes alkalmazása szükséges.
4. A védelmi szoftvernek jó minőségűnek és kellő gyakorisággal aktualizáltnak kell lennie, hogy felismerési hatékonysága maximális legyen.
5. A védelmi szoftvernek minden potenciális támadási ponton aktívan üzemelnie kell. A közvetlenül nem potenciális támadási pontokon üzemelő víruskeresők a rendszer redundanciáját - és így üzembiztosságát - növelik, ezzel szemben az általános sebességet csökkentik.
6. A védelmi szoftvernek minden ponton az adott intézmény informatikai biztonsági stratégiájával összhangban álló konfigurációval kell rendelkeznie.

7. A kiválasztott vírusvédelmi rendszernek az alábbi keresési menedzsment-technológiákat kell ismernie, illetve használnia:
-  Ismert minták keresése. Hagyományos, adatbázis alapú víruskeresési technológia.
-  Variációs technológia. Egyes vírusok a hagyományos keresési technológia ellen védekezve a szaporodás során megváltoztatják saját kódjukat. A kódváltoztatások azonban követhető törvényszerűségek alapján működnek, amelyek felismerésére a variációs technológia képessé teszi a víruskereső szoftvert.
-  Heurisztikus keresés. Olyan kódsorozatok utáni keresés, amelyek vírus jelenlétére utalnak, ily módon a korábbról nem ismert vírusok is jó eséllyel megtalálhatók.
- Virtuálisgép-módszer. A vírusvédelmi szoftver úgynevezett virtuális gépen, a számítógép memóriájának elkülönített részén indítja el a futtatható kódot. Vírusra utaló magatartás esetén a kódot a valós gépen nem futtatják.
- Makróleltár. A vírusvédelmi szoftver egy makrógyűjteményben tárolja azokat a makrókat, amelyek engedélyezve vannak egy szervezeten belül. A rendszer megakadályozza a nem engedélyezett makrók futtatását.
- Karanténtechnológia. Olyan esetben, amikor a védelmi szoftver nem tudja eltávolítani a vírust a fertőzött állományból, lehetőség van az adott fájl elkülönítésére, hogy azt a felhasználók tovább ne használhassák, és így a vírus ne tudjon továbbterjedni.

8. A vírusvédelmi rendszernek olyan frissítési megoldással kell rendelkeznie, amely rendszeresen és automatikusan biztosítja a termék aktualizálását, ismeretanyagának naprakészségét. Napjainkban erre a célra leginkább az interneten keresztül történő frissítés használható. A frissítés ne időzítéssel (például naponta egyszer) történjen, hanem letöltése a szoftvergyártó által kiadott frissítés megjelenése után a lehető a legrövidebb időn belül automatikusan történjen meg. Ennek egyik módszere, hogy az adott intézménynél levő vírusvédelmi rendszer szervere folyamatosan figyeli a szoftvergyártó által kiadott frissítéseket, és változás esetén automatikusan letölti a szükséges állományokat.
9. A vírusvédelmi rendszert, illetve annak frissítéseit vagy saját (beépített) eljárásaival, vagy az informatikai menedzsmentrendszer segítségével központi helyről kell telepíteni.

10. Vírusokkal kapcsolatos események bekövetkeztekor a vírusvédelemért felelős informatikus és a munkaállomások felhasználói számára is üzenetet kell küldeni a feltételezett vírusveszélyről.
11. A vírusvédelmi szoftvernek biztosítania kell, hogy a vírusvédelemért felelős informatikus bármikor meggyőződhessen róla, működnek-e a munkaállomásokon a vírusvédelmi szoftver megfelelő moduljai.
12. A kiválasztott vírusvédelmi rendszernek támogatnia kell mindazokat a platformokat és mindazokat a központi alkalmazásokat, amelyeket az informatikai rendszer a felhasználók számára szolgáltatásként nyújt. Ehhez kapcsolódóan elsősorban az internet-hozzáférésre, a levelezőrendszerre, a központi dokumentációtárolásra, a titkosító rendszerekre és egyéb irodai alkalmazásokra hívjuk fel a figyelmet. Létfontosságú és alapvető elvárás, hogy a vírusvédelmi rendszer megfelelően integrálható legyen ezekkel a kulcsalkalmazásokkal, és rendelkezzen megfelelő modulokkal a különböző operációs rendszerek számára (mind szerver, mind munkaállomás esetén).

13. A fenti szempontoknak megfelelő fontossági sorrendben a következő vírusvédelmi rétegek kialakítása szükséges:
- A legfontosabb a munkaállomások ellenőrzése, mivel ezek jelentik a vírusok által megcélzott elsődleges támadási felületet. A víruskereső szoftvernek minden lehetséges bejutási pontot ellenőriznie kell (hajlékonylemez, CD-ROM, hálózat, e-mail, egyebek).
- A rendszerben működő állomány- és alkalmazáskiszolgálók másodlagos támadási felületet jelentenek. Védelmük jelentős redundanciát visz a rendszerbe, és feltétlenül ajánlott. A telepített víruskeresőnek - a munkaállomásokon futó változathoz hasonlóan - minden lehetséges bejutási pontot ellenőriznie kell (floppy, CD-ROM, hálózat, e-mail stb.), különös tekintettel a szerverek rendeltetésszerű használata közben fellépő adatforgalomra (például állományok forgalmazása, levelezés).
- Az állománykiszolgálókhoz hasonlóan a tűzfalak és a levelezőszerverek is másodlagos támadási felületnek számítanak. Ennek megfelelően vírusvédelmi konfigurációjuknak is hasonló módon kell történnie.

Előző
  • 1
  • 2
Következő