論理的ですか? そしていや!
「ガイダンス文書」という文書を開きます。 抗ウイルス剤。 セキュリティインジケータとウイルス保護の要件 。 この文書は、ロシア連邦大統領の下の国家技術委員会によって開発されました。 このドキュメントの2つのバージョン(1997年と1998年)がインターネット上で見つかります。ドキュメントは非常に異なるため、簡単にするために1998年のバージョンを新しいバージョンと見なします。
このRDのウイルス対策とは何ですか?
このドキュメントのウイルス対策手段(ABC)は、コンピュータープログラム(CBT)および自動システム(AS)に基づいて、ウイルスプログラムやウイルスのような影響からコンピューター施設を保護するために設計された特殊な情報保護ツールです。
現在の定義との根本的な違い。 アンチウイルスは侵入に対する保護手段とは見なされません。 そして、一般的に、アンチウイルスは侵入に対する保護を保証できないため、これは理にかなっています。 これを行うには、少なくとも権利の制限などを使用します。 そして本当に。 さらに、「ロシアの国家技術委員会のガイダンス文書に加えて、ガイダンス文書が作成されます」コンピューター施設を読みました。 情報への不正アクセスに対する保護。 情報への不正アクセスに対するセキュリティの指標。 つまり、保護はアクセス制限に基づいた一連の対策と見なされていました!
これらの指標には、ASの個々の要素(CBT)およびAS全体の両方に対するウイルスプログラムおよびウイルスのような影響への暴露の条件下でASを保護する抗ウイルス剤の要件が含まれています。
さらに、RDは、ワークステーションとサーバーの保護に要件があることを示しています。 現在と同様に、どちらの場合も、要件は6つのクラスに分けられ、最低クラスは6番目のクラスです。 文書によると、数字の1が常に感嘆符に置き換えられているのは面白いです-A! とB!
アンチウイルスには何が必要でしたか?
=> ABCは、オペレーター(ユーザー)の要求に応じて、ダイアログモードおよびコマンド(自動)モードでウイルス感染の有無を定期的に確認する必要があります。
=>インストール前に、ウイルス感染の有無について重要なOS要素の予備チェック。 ABCのインストール手順では、インストールされたコンポーネントおよび配布メディアのウイルス感染の可能性を排除する必要があります。
これはウイルス対策スキャナーです。 現在のプロファイルにも必要ですが、そこではあまり詳細に説明されていません。
=>代替の補完的な検出メカニズム、少なくともスキャン、ヒューリスティック分析、およびファイルシステムの整合性制御方法の使用。
=> ABCは、すべてのタイプの既知のウイルスによるウイルス感染の検出を保証する必要があります。
- ストレージメディアのサービスエリア。
- 情報キャリア上のオブジェクト。
- さまざまなアーカイブツールによって作成されたアーカイブ内のオブジェクト。
- さまざまな圧縮手段(圧縮)でパックされたオブジェクト。
=>未知のウイルスによるウイルス感染の検出:
- ストレージメディアのサービスエリア。
- 情報キャリア上のオブジェクト。
- さまざまなアーカイブツールによって作成されたアーカイブ内のオブジェクト。
- さまざまな圧縮手段(圧縮)でパックされたオブジェクト。
=> ABCは、RAM内の既知のアクティブウイルスの検出を保証する必要があります。
リストは、現在のプロファイルよりもはるかに詳細です。 RDは、ウイルス対策が既知のウイルスと未知のウイルスの両方に耐えることができることを個別に示していることに注意してください。
そして、ここに定量的な指標があります。
=> ABCは、既知のウイルスによって引き起こされるウイルス感染の事実の少なくとも95%の検出を保証する必要があります。
=>未知のウイルスによるウイルス感染の少なくとも70%の検出。
=>オブジェクトのウイルス感染の誤検出の事実の3%以下。
=> ABCは、システム全体の手順の実行時間に匹敵する、感染したオブジェクトの検出と処理の一時的な有効性を確保する必要があります。
非常に高い要件に注意します。 そして、これは6年生のためです-5年生はさらに水準を上げました:
=>ポリモーフィックで複雑な暗号化ウイルスの検出。
=>既知のウイルスによって引き起こされたウイルス感染の事実の少なくとも99%の検出。
=>未知のウイルスによって引き起こされたウイルス感染の事実の少なくとも75%の検出。
=>オブジェクトのウイルス感染の誤検出の事実の2%以下。
保護クラスが保護機器の機能によって人為的に分離されている現在のプロファイルとは対照的に、RDでは、クラスは作業の質に依存することに注意してください。 そして、私の意見では、より正確です。
さらに、仕事の質の要件は各クラスで強化されます。 しかし、簡単にするために引用はしません。
=> ABCは、ウイルスプログラムが検出されたオブジェクト(ファイル)を削除する機能を提供する必要があります。
=> ABCは、感染したオブジェクトの名前を変更したり、(または)指定された(ターゲット)ディレクトリにコピーする機能を提供する必要があります。
追加された5年生:
=>オブジェクトの本体から既知のウイルスのコードを削除する機能(処理)。
=> RAMから既知のアクティブウイルスを削除し、(または)プログラムコードの実行をブロックします。
完全なルートキット対策!
回復:
=> ABCは、ストレージメディアのブートレコードを復元する機能を提供する必要があります。
=> ABCは、ウイルスへの暴露の結果として可逆的に変更された場合、ストレージメディアのデータリカバリを提供する必要があります。
現在のプロファイルには無条件の処理が必要です-オプションはありません。
これらの要件に追加された5年生:
=>オペレータ(ユーザー)によって事前定義されたオブジェクトの復元。
=>オペレータ(ユーザー)を許可する管理ツール:
- 後で復元できるオブジェクトのリストを作成します。
オブジェクトの復元に必要なデータを準備します。
しかし、これはバックアップです! すでに1998年に、アンチウイルス保護システムの一部としてバックアップおよびリカバリ機能の可用性に関する要件が規定されていました。
興味深いことに、テキスト形式とは次のとおりです。
=> ABCは、検証結果のレポートをテキスト(人間が読める)形式で作成する機能を提供する必要があります
すべての製品が「人間が読める」形式でログインするようになったのでしょうか?
管理ツールの可用性も必要でした。「ABCで管理ツールを提供する必要があります」
更新プロセスの要件は面白く説明されていました。
=> ABCでは、更新をオペレータ(ユーザー)に接続する機能を提供する手段を提供する必要があります。
=> ABCは、新しいウイルスプログラムが出現したときに定期的に更新する機能を提供する必要があります。
=>起動時に、ABCはウイルスプログラムによる感染の証拠についてそのコンポーネントを自動的にチェックする必要があります。
自己防衛の時代には、自己テストの要件はおかしく見えます。
また、RDの作成時に、Chihaのメモリがまだ新鮮だったときに、「=>システムの不揮発性メモリ(CM08)の領域を復元する」ためにアンチウイルスが必要であったこともおもしろいです。念頭に置いて)。
奇妙なことに、「アプリケーションソフトウェアとユーザーデータへの」影響をブロックすることは、「不揮発性メモリ($、08);
最初のクラスでは、ファイルウォールと攻撃に対する保護システムが登場しました。「通信回線(チャネル)を介してウイルスの影響をブロックする」です。
また、最初のクラスでは、「分散ASで使用される場合、ウイルスキャリアを下位階層レベルのサブオブジェクト(パケット)に分解するときのウイルス」に対する保護が必要でした。 今は覚えていません。
ファイルサーバーの要件は、共有オブジェクトの処理モードを除き、一般にワークステーションの要件と一致していました。
簡単にするためのリストはやや短縮されていますが、説明されているものも印象的です。 実際、RDは少なくとも10年前から防御の開発を予想していました。 バックアップ、ビヘイビアアナライザ、不正な操作に対する保護システム。 実際、十分なファイルモニターはありません(ただし、リムーバブルメディアを保護する手段や通信回線を介した攻撃などで暗黙的に表示されます)。 まあ、ウイルス以外のマルウェアはありません。 しかし、1998年には、非常に非常に言い訳になります。
私の知る限り、検討中の文書は発効していませんが、業界で一度議論されました。 なんて残念。 このドキュメントのすべての欠点にもかかわらず、現在のセキュリティプロファイル 、およびおそらくNISTの要件よりもはるかに優れています。