Для захисту малопоширених і унікальних інформаційних систем від вірусів і інших шкідливих програм можна використати вбудовані антивіруси.

Розроблювачі таких систем можуть здобувати в антивірусних компаній ліцензії на використання антивірусного ядра й вбудовувати це ядро в створювані системи. Це забезпечить надійний антивірусний захист маловідомих або «нестандартних» інформаційних систем.

2.1.7 Вакцинування

На зорі розвитку антивірусних програм використовувався метод захисту від вірусів із назвою вакцинування.

При вакцину ванні до програми приєднується спеціальний модуль контролю, що стежить за її цілісністю. Цей модуль перевіряє контрольну суму програми або які-небудь інші її характеристики.

Вакцинування — малоефективний спосіб захисту, заснований на приєднанні до програм спеціального модуля. Цей модуль контролює цілісність файлу програми.

Метод вакцинування неефективний, тому що, наприклад, не може захистити комп'ютер від стелс-вірусов.

Тому сучасні засоби антивірусного захисту не застосовують вакцинування.

2.2 Методи й засоби захисту від комп'ютерних вірусів

Розглянемо програмно-технічні й адміністративно-технологічні рішення й заходи, необхідні для зниження ризику вірусного зараження й зменшення шкоди, якщо таке зараження вже відбулося.

2.2.1 Програмно-технічні методи

Основним засобом боротьби з вірусами були й залишаються антивірусні програми. Можна використати антивірусні програми (антивіруси), не маючи уяви про те, як вони влаштовані. Однак без розуміння принципів пристрою антивірусів, знання типів вірусів, а також способів їхнього поширення, не можна організувати надійний захист комп'ютера. Як результат, комп'ютер може бути заражений, навіть якщо на ньому встановлені антивіруси.

Крім того, практично всі антивірусні програми забезпечують автоматичне відновлення заражених програм і завантажувальних секторів. Звичайно, якщо це можливо.

Коли антивірус виявляє заражений файл, він звичайно виводить повідомлення на екрані монітора й робить запис у власному або системному журналі. Залежно від настроювань, антивірус може також направляти повідомлення про виявлений вірус адміністраторові мережі.

Якщо це можливо, антивірус виліковує файл, відновлюючи його вміст. У противному випадку пропонується тільки одна можливість — видалити заражений файл і потім відновити його з резервної копії (якщо, звичайно, вона у Вас є).

Існує ще цілий клас антивірусних програм, які постійно перебувають у пам'яті комп'ютера, і відслідковують всі підозрілі дії, виконувані іншими програмами. Такі програми звуться антивірусними моніторами або сторожами.

Монітор автоматично перевіряє всі програми, що створюють, відкривають й зберігають файли. Антивірусний монітор повідомить користувачеві, якщо яка-небудь програма спробує виконати потенційно небезпечна дія.

2.2.2 Захист, убудований в BIOS комп'ютера

У системні плати комп'ютерів теж вбудовують найпростіші засоби захисту від вірусів. Ці засоби дозволяють контролювати всі звертання до головного завантажувального запису жорстких дисків, а також до завантажувальних секторів дисків і дискет. Якщо яка-небудь програма спробує змінити вміст завантажувальних секторів, спрацьовує захист і користувач одержує відповідне попередження.

Однак цей захист не дуже надійний. Існують віруси (наприклад, Tchechen.1912 і 1914), які намагаються відключити антивірусний контроль BIOS, змінюючи деякі осередки в енергонезалежній пам'яті (CMOS-пам'яті) комп'ютера.

2.2.3 Захист поштових серверів

Для захисту поштових серверів можна придбати антивіруси, спеціально призначені для перевірки поштового трафіку, або підключити до поштового сервера звичайні антивіруси, що допускають роботу в режимі командного рядка.

Демон антивірусу Doctor Web можна інтегрувати з усіма найбільш відомими поштовими серверами й системами, такими як Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail і Zmailer. Аналогічні засоби надаються й Лабораторією Касперського в складі пакета Kaspersky Corporate Suite.

Поштовий сервер MERAK Mail Server допускає підключення зовнішніх антивірусів різних типів, що мають інтерфейс командного рядка. Деякі поштові сервери (наприклад, EServ) поставляються з вбудованим антивірусом.

Можна також додатково перевіряти трафік POP3 і на робочих станціях користувачів. Це дозволяє зробити, наприклад, антивірусний проксі-сервер SpIDer Mail для протоколу POP3, який можна придбати разом з антивірусом Doctor Web.

2.2.4 Захист серверів систем документообігу

Існує ряд антивірусних програм, спеціально призначених для антивірусного захисту подібних систем. Це Trend Micro ScanMail для Lotus Notes, McAfee GroupScan і McAfee GroupShield, Norton Antivirus для Lotus Notes, антивірус Касперського Business Optimal для MS Exchange Server і деякі інші.

Ці програми сканують пошту й файли вкладень, видаляючи в реальному часі всі шкідливі програми, виявляють макрокомандні віруси й троянські програми у формах і макросах, у файлах сценаріїв і в об'єктах OLE. Перевірка виконується в режимі реального часу, а також на вимогу.

2.2.5 Захист нестандартних інформаційних систем

Для антивірусного захисту нестандартних інформаційних систем, що зберігають дані у власних форматах, необхідно або вбудовувати антивірусне ядро в систему, або підключати зовнішній сканер, що працює в режимі командного рядка.

Наприклад, ядро антивірусу Doctor Web було використано ФГУП «НПО машинобудування» для захисту системи документообігу, створеної на базі власної технології Sapiens (http://www.npomit.ru). Вся інформація, що зберігається цією системою в базі даних, перевіряється антивірусним ядром Doctor Web.

Як розроблювачі інформаційних систем для відповідального застосування, «НПО машинобудування» постачало антивірусним захистом такі свої розробки, як Sapiens Реєстрація й Контроль Виконання Документів, Sapiens Моніторинг Обчислювальних Ресурсів, Sapiens Електронний Архів Конструкторської Документації.

2.2.6 Мережевий центр керування антивірусами

Якщо локальна мережа нараховує сотні й тисячі комп'ютерів, то необхідно централізоване керування антивірусними програмами й контроль їхньої роботи. Виконання в «ручному» режимі таких операцій, як відстеження відновлень антивірусної бази даних і завантажувальних модулів антивірусних програм, контроль ефективності виявлення вірусів на робочих станціях і серверахта ін., не є ефективним, якщо в мережі є велика кількість користувачів або якщо мережа складається з територіально віддалених друг від друга сегментів.

Якщо ж не забезпечити своєчасне й ефективне виконання перерахованих вище операцій, технологія антивірусного захисту корпоративної мережі обов'язково буде порушена, що рано або пізно приведе до вірусного зараження. Наприклад, користувачі можуть неправильно настроїти автоматичне відновлення антивірусної бази даних або просто