Los virus informáticos tienen un impacto desastroso en las redes informáticas. Los usuarios de computadoras han estado luchando contra los virus informáticos desde los virus "gusano" y "bola" de los años 1980.
Writing Papers ha producido una variedad de productos y programas de virus. Sin embargo, con el desarrollo de Internet en los últimos años, la aparición del correo electrónico y algunas herramientas de red ha cambiado la forma en que los humanos obtienen información y sus vidas. Al mismo tiempo, los tipos de virus informáticos han aumentado rápidamente y su propagación se ha acelerado enormemente. Han surgido varios virus con nuevos métodos y expresiones de propagación, y su poder destructivo y contagiosidad no tienen comparación entre las empresas y los usuarios individuales. La ubicación principal y el modo de transmisión de los virus han cambiado desde la infección anterior a través de medios entre máquinas individuales y sistemas de red. Ha aparecido una gran cantidad de virus similares a las infecciones de red "CIH, Melissa y Exploer". Una vez que una empresa o unidad es invadida y atacada por un virus, las pérdidas y responsabilidades causadas serán insoportables. La batalla entre virus y antivirus ha entrado en una era que va desde "matar" virus hasta "prevenir" virus. Sólo rechazando los virus fuera de la red una empresa o unidad puede garantizar la verdadera seguridad de los datos.
En segundo lugar, investigación sobre varias tecnologías antivirus
1. Antivirus de CPU
La razón por la que los virus y los piratas informáticos pueden atacar las computadoras con mucha facilidad es porque La red está interconectada. En el proceso de intercambio de información, se establecerán muchos canales en la red informática, pero los diseñadores no consideraron demasiado este tema, por lo que siempre que la información pase por el canal, puede considerarse una "liberación" de información de seguridad. .
Así que esto supone un gran riesgo para el ordenador. Después de años de arduo trabajo, Boris Babaian, académico correspondiente del Instituto de Microprocesadores de Sistemas Informáticos de la Academia de Ciencias de Rusia, desarrolló un nuevo tipo de microprocesador (CPU), que la comunidad antivirus considera que ha implementado con éxito la CPU. antivirus. Este tipo de CPU puede identificar programas de virus, "resistir" la información que contiene programas de virus y, al mismo tiempo, "encarcelar" estos programas de virus y proporcionarles algunos datos para que los ejecuten, de modo que no dañen la computadora porque están inactivos, por lo que se utiliza este método.
2. Antivirus en tiempo real
La tecnología antivirus en tiempo real siempre ha sido favorecida por la comunidad antivirus y se considera una solución antivirus relativamente completa. A lo largo de los años, su desarrollo se ha visto restringido, por un lado, consume algunos recursos del sistema, reduce el rendimiento del sistema y lo hace insoportable para los usuarios, por otro lado, su compatibilidad con otros software (especialmente los sistemas operativos) no lo ha sido. Ha sido mejorado. Muy buena solución.
El mayor beneficio del concepto de antivirus en tiempo real es que resuelve el problema de que los usuarios sean "desconocidos" o "inseguros" acerca de los virus. Sin la ayuda de herramientas de detección de virus, los usuarios normales sólo pueden juzgar si hay un virus en el sistema al sentirlo. De hecho, cuando los usuarios sienten que efectivamente hay un virus en el sistema, el sistema ya está al borde del colapso. La tecnología antivirus en tiempo real puede alertar rápidamente a los usuarios antes de un brote de virus a gran escala e instarlos a tomar medidas efectivas.
La monitorización en tiempo real es proactiva, no retrasada. Cualquier programa será filtrado antes de ser llamado. Mientras haya una intrusión de virus, emitirá una alarma y eliminará automáticamente el virus para evitar problemas antes de que ocurran. El monitoreo en tiempo real es más seguro que tomar medidas de rescate después de que un virus lo invade o incluso lo destruye.
3. Tecnología de máquina virtual
De hecho, lo que es más inteligente es utilizar código de programa para virtualizar un entorno operativo del sistema, incluido el espacio de memoria virtual, varios registros de la CPU y incluso puertos de hardware virtuales. Utilice el depurador para cargar la "muestra" del programa a depurar y coloque cada declaración en el entorno virtual para su ejecución, de modo que podamos comprender la ejecución del programa a través de cambios en la memoria, registros y puertos. Un entorno virtual de este tipo es una máquina virtual. La tecnología de realidad virtual también se basa en la tecnología de máquina virtual subyacente del sistema.
Dado que la máquina virtual puede reflejar cualquier dinámica del programa, si el programa se coloca en la máquina virtual para su ejecución, puede reflejar la infección del virus. Si esto se puede hacer, la probabilidad de detección de virus desconocidos mejorará enormemente.
Pero debido a que la máquina virtual es demasiado lenta y será docenas de veces o más lenta que la ejecución normal del programa, en realidad no podemos ejecutar todo el código del programa virtualmente. En la actualidad, algunos programas antivirus han seleccionado los primeros k bytes del segmento de código de la muestra de ejecución virtual y su probabilidad de detección ha alcanzado aproximadamente el 95%.
4. Tecnología de kernel activo
La tecnología de kernel activo, en términos sencillos, significa: parchear el sistema operativo y el sistema de red desde lo más profundo del kernel del sistema operativo, que es un " parche activo”. El sistema o red será administrado e inspeccionado desde una perspectiva de seguridad para reparar las vulnerabilidades del sistema antes de que cualquier archivo ingrese al sistema, el módulo antivirus como núcleo activo primero utilizará varios medios para detectar y procesar el archivo.
3. Análisis de programas antivirus de red
1. Prevención de virus
Las medidas preventivas contra virus de red incluyen principalmente:
(1) A menos que sea necesario, intente quitar la unidad de disquete de la estación de trabajo y reemplace la estación de trabajo con un disco con una estación de trabajo sin disco. Esto puede reducir la posibilidad de infección de la red.
(2) Si el entorno operativo del software lo permite, el disco duro de la estación de trabajo se puede extraer aún más para convertirla en una verdadera estación de trabajo sin disco. Simplemente instale un chip EPROM de reinicio remoto en la tarjeta de red de la estación de trabajo. Después del inicio, la estación de trabajo completa el trabajo de inicio del sistema a través del chip en la tarjeta de red y ejecuta directamente el programa de acceso a la red. De esta manera, la estación de trabajo no puede copiar archivos del servidor ni copiar archivos al servidor, sino que solo puede ejecutar archivos en el servidor, eliminando la posibilidad de que virus infecten el servidor a través de la estación de trabajo y mejorando la seguridad del sistema.
(3) La máquina utilizada como servidor de red solo se utiliza como servidor, no como estación de trabajo ni como máquina independiente.
(4) Está estipulado que solo los administradores de red profesionales pueden iniciar sesión utilizando el nombre de superusuario. Debido a que el superusuario tiene autoridad total sobre todo el sistema de red (lo que incluye lectura, escritura, creación y eliminación), si la estación de trabajo está infectada con un virus, iniciar sesión con el superusuario infectará todo el servidor de la red.
(5) Proporcione a los usuarios diferentes permisos y haga que personal dedicado use directorios exclusivos para evitar comportamientos no autorizados. De esta manera, incluso si un usuario está infectado con un virus en un subdirectorio del servidor, otros usuarios. no ejecutará comandos en ese directorio, los archivos no serán infectados por virus.
2. Cortafuegos antivirus
El cortafuegos antivirus es en realidad una implementación específica de un determinado aspecto del cortafuegos "generalizado".
Ghostwriting es un software de monitoreo antivirus instalado en el sistema informático del usuario. Filtra virus dañinos en tiempo real entre el sistema local del ordenador del usuario y el entorno externo, lo que puede prevenir eficazmente virus de recursos locales y externos. recursos de la red. Invasión de virus. El firewall de virus debe tener un buen filtrado en tiempo real, lo que significa que una vez que un virus invade el sistema o infecta otros recursos del sistema, el firewall de virus lo detectará y eliminará inmediatamente. El software antivirus independiente tradicional se centra más en el antivirus "estático", es decir, detectar y eliminar recursos locales y remotos mediante análisis y escaneo estáticos. El "filtrado bidireccional" del cortafuegos antivirus garantiza que el sistema local no propague virus a recursos remotos de la red, algo que los productos antivirus independientes tradicionales no pueden hacer.
3. Software antivirus de red
Las soluciones antivirus requieren un conjunto unificado y completo de software de implementación que pueda controlarse de forma centralizada, actualizar automáticamente las firmas de virus y ser compatible con múltiples plataformas. múltiples protocolos, múltiples tipos de archivos. Los productos de software antivirus NAI (American Network Alliance Inc.) representan más del 60% del mercado internacional. Proporciona una solución antivirus integral TVD (Toltal Virus Defense) adecuada para diversas redes corporativas y escritorios personales. TVD incluye tres paquetes de software: VSS (VirusScanSecuritySuite) y solución antivirus de escritorio; NSS (NetShieldSecuritySuite), solución antivirus a nivel de servidor ISS (InternetSecuritySuite), solución antivirus de puerta de enlace de Internet. La consola distribuida de TVD puede recibir automáticamente los archivos de firmas de virus más recientes de NAI y actualizar el software. Con estos paquetes de software, podemos crear un sistema de defensa antivirus que satisfaga las necesidades de la empresa.