Технічні методи і засоби захисту інформації.
Будь-яка юридична чи фізична особа (в подальшому “об’єкт”) має різноманітні технічні засоби, призначені для прийому, передачі, переробки та зберігання інформації. Фізичні процеси, які відбуваються в таких пристроях, при їхньому функціонуванні створюють в оточуючому просторі побічні випромінювання, які можна виявити на досить значних відстанях (до декількох сотень метрів), і, як наслідок, перехоплювати. Фізичні явища, які лежать в основі випромінювань мають різний характер, але витік інформації за рахунок побічних випромінювань відбувається від передавача (джерела випромінювань), середовища, в якому ці випромінювання розповсюджуються, та приймача. Таку “систему зв’язку” називають технічним каналом витоку інформації.
Для створення системи захисту об’єкта від витоку інформації технічними каналами слід здійснити ряд заходів. Перш за все, –проаналізувати специфічні особливості розміщення споруд, приміщень у спорудах, територію навколо них і підведені комунікації, а також виділити ті приміщення, всередині яких циркулює конфіденційна інформація і врахувати технічні засоби, що в них використовуються. Далі здійснюють такі технічні заходи:
- перевірку техніки, що використовується, на відповідні величини побічних випромінювань
допустимих рівнів;
- екранування приміщення з технікою або техніку в приміщеннях;
- перемонтування окремих ланок, ліній, кабелів;
- використання спеціальних пристроїв і засобів пасивного та активного захисту.
Сьогодні електронні засоби, призначені для промислового шпигунства, досягли високого рівня досконалості в своєму розвитку. Вже багато років підряд не вимагає великих зусиль запис розмови в приміщенні по вібрації віконного скла з вулиці з досить великої відстані. Записують і розмову в машині з
машини, що йде паралельно, трохи позаду або спереду, обладнаної відповідними електронними системами. За даними преси, на “чорному ринку” вартість одного “жучка” для підслухування коливається від 300 до 1000
доларів. Задоволення дороге, але доступне. Попит є, але поки невеликий, що дає можливість сподіватися на декілька років спокійного життя для вашої фірми, але не більше.
На рис.1 показано схему з різними варіантами “проникнення” в закрите приміщення з метою
несанкціонованого доступу до інформації:
1) лазерна установка підслухування розмови за вібрацією скла;
2) магнітофон, що приймає сигнали від “жучка”, вмонтованого у вікно;
3) телекамера, з’єднана з оптичними волокнами в стіні;
4) “жучок”, пов’язаний з вікном напряму;
5) система зчитування даних з комп’ютера;
6) “жучки” в телефонній мережі;
7) приймач сигналів від “жучка”, що реагує на стукіт друкарської машинки;
8) джерело та приймач “пасивних” мікрохвиль;
9) “жучок” у вимикачі світла”;
10) мікрофон вузькоспрямованої дії.
Схема “проникнення” в закрите приміщення з метою несанкціонованого доступу до інформації

До технічних каналів витоку інформації можна віднести:
- радіоканали (електромагнітні випромінювання);
- електричні (напруга і точки в різних струмопровідникових комунікаціях);
- акустичні (поширення звукових коливань в будь-якому звукопровідниковому матеріалі);
- оптичні (електромагнітні випромінювання у видимій, інфрачервоній і ультрафіолетовій частинах
спектру).
Джерелами випромінювань у технічних каналах є різноманітні технічні засоби, а саме ті, в яких
циркулює конфіденційна інформація. Ними вважають:
- мережі електроживлення і лінії заземлення;
- автоматичні мережі телефонного зв’язку;
- системи факс, телекодового і телеграфного зв’язку;
- засоби гучномовного зв’язку;
- засоби звуко- і відеозапису;
- системи звукопосилення;
- електронно-обчислювальна техніка;
- електронні засоби оргтехніки;
- голос людини (середовищем поширення акустичних випромінювань у цьому випадку є повітря, а
при зачинених вікнах і дверях – повітря і різні звукопровідникові комунікації. Якщо для
перехоплення використовують спеціальні мікрофони , то утворюється акустичний канал витоку
інформації).
Для роботи з секретними документами відводять спеціальні приміщення з надійною звукоізоляцією. У ті приміщення не допускають не лише сторонніх осіб, але і співробітників, що не мають дозволу (допуску) на роботу з секретами фірми. Ці приміщення повинні мати капітальні стіни, надійні перекриття, міцні двері із замками та засувами, захист на вікнах від проникнення сторонніх осіб, а також надійно охоронятися, в тому числі системою охоронної сигналізації, електронно-механічними пристосуваннями із застосуванням кабельного
телебачення тощо.
“Жучок”, величина якого може бути меншою за 1 мм3, а вага – від декількох грамів, можна схованими де завгодно.
Нарівні із звичайними “жучками”, пристосованими для перехоплення інформації в невеликих приміщеннях, на телефонних лініях чи телефаксах, існують і складніші пристрої з використанням інфрачервоних променів і які приводяться в дію в потрібний момент мікрохвилями, спрямованими з відстані.
Нерідко такі “жучки” замуровують в стіни, і тому їх називають пасивними. Створені системи, здатні з відстані в кілька десятків метрів зчитувати інформацію з екранів комп’ютерів, а також мікрофони, що записують стукіт
друкарської машинки, а згодом “переводять” кожний звук або набір звуків у літери алфавіту, відтворюючи необхідний текст.
Мережеві фільтри. Виникнення проблем у мережах живлення найчастіше пов’язані з тим, що вони підключені до загальних ліній живлення. Тому мережеві фільтри виконують дві функції : захист апаратури від зовнішніх імпульсивних перешкод і захист від наводок, які створює сама апаратура.
При виборі фільтрів слід враховувати: номінальну величину струмів та напруг у ланцюгах живлення, а також, допустимі значення спаду напруги на фільтрі при максимальному навантаженні; допустимі значення реактивної складової струму на основній частоті напруги живлення; необхідне затухання фільтра; механічні
характеристики фільтра (розмір, вага, тип корпусу, спосіб встановлення); ступінь екранування фільтра від сторонніх полів.
Екранування приміщень. Для повного усунення наводок у приміщеннях, лінії яких виходять за межі контрольованої зони, слід не лише “подавити” їх у проводах, що відходять від джерела, а й обмежити сферу дії електромагнітного поля, яке створює система внутрішньої електропроводки. Це вирішують
шляхом екранування. Розміри екранованого приміщення вибирають, виходячи з його призначення.
Захист телефонів та факсів. Як будь-який електронний пристрій, телефон, факс, а також їх лінії зв’язку випромінюють у відкритий простір високорівневі поля в діапазоні частот до 200 мГц. Щоб цілком подавити всі види випромінювань, слід відфільтрувати випромінювання у проводах мікротелефону, в проводах, що відходять від апарату, а також забезпечити достатнє екранування внутрішньої схеми апарату. Усього цього можна досягти лише шляхом значної переробки конструкцій апаратів і зміни їхніх електричних параметрів. Тобто, треба захистити ланцюг мікрофона, ланцюг дзвінка і двопровідну лінію телефонного зв’язку. Зрозуміло, що здійснити вказані заходи можуть лише спеціалісти з використанням відповідного обладнання і стандартних схем. Це ж саме стосується і проблеми захисту ліній зв’язку, що виходять за межі приміщень з апаратами.
Загалом, це дуже серйозна проблема, оскільки подібні лінії практично завжди безконтрольні і до них можна підключити різноманітні засоби знімання інформації. Тут є два шляхи: по-перше, застосувати спеціальні
проводи (екранований біфіляр, трифіляр, коаксильний кабель, екранований плоский кабель). По-друге, систематично перевіряти спеціальною апаратурою на факт підключення засобів знімання інформації. Виявлення наведених сигналів проводять на межі контрольованої зони або комутаційними пристроями в кросах чи розподільчих шафах. Потім або визначають конкретне місце підключення, або (якщо таке визначення неможливе) влаштовують шумову завісу.
Захист від вмонтованих та вузькоспрямованих мікрофонів. Мікрофони, як відомо, перетворюють звук в електричний сигнал. У сукупності з спеціальними підсилювачами і фільтрами їх можна використовувати як підслуховуючі пристрої. Для цього створюють приховану лінію зв’язку, яку можна виявити лише фізичним пошуком або (що важче) шляхом контрольних вимірів сигналів в усіх проводах, наявних у приміщенні. Методи радіоконтролю, ефективні для пошуку радіозакладок, у цьому разі не мають змісту. Окрім перехоплення звукових коливань, спеціальні мікрофони-стетоскопи дуже добре сприймають
звуки, які поширюються у конструкціях споруд. З їх допомогою здійснюють підслухування через стіни, двері та вікна. Існує ряд модифікацій вузькоспрямованих мікрофонів, що сприймають і підсилюють звуки, які йдуть
тільки з одного напряму, і послаблюють при цьому решту звуків. Такі мікрофони мають вигляд довгої трубки, батареї трубок або параболічної тарілки з конусом концентратора. Вони вловлюють звуки людського голосу на
відстані до одного кілометра. Для захисту від вузькоспрямованих мікрофонів можна рекомендувати:
- конфіденційні переговори проводити в кімнатах, ізольованих від сусідніх приміщень, при зачинених дверях, вікнах і квартирках, закритих цупких шторах. Стіни також мають бути ізольовані від сусідніх будинків;
- підлогу та стелю варто ізолювати від підслухування мікрофонами та іншою апаратурою;
Захист від лазерних підслуховуючих пристроїв. Лазери – це пристрої, в яких передачу і отримання інформації здійснюють в оптичному діапазоні. Вони малогабаритні і економні, тим більше, що в якості приймача нерідко виступають фотооб’єктиви з великою фокусною відстанню, які дають змогу вести перехоплення сигналів з далеких відстаней. Принцип дії лазерного пристрою полягає в посиланні зондуючого променя в напрямі джерела звуку і
прийманні цього променя після відображення від будь-яких предметів. Цими предметами, що вібрують під дією оточуючих звуків як своєрідні мембрани, можуть бути скло вікон, шаф, дзеркала, посуд і т.п. Своїми коливаннями вони модулюють лазерний промінь, який, після прийому приймачем, здатний відновити звуки
мови. Лазерні пристрої дають можливість вільно підслуховувати людську мову через зачинені вікна з подвійними рамами на відстані до 300 метрів.
Найпростішим і в той самий час досить надійним способом захисту від лазерних пристроїв є створення перешкод для модулювання за допомогою п’єзоелемента. П’єзоелемент коливає скло з більшою амплітудою,
ніж голос людини, тому амплітуда вібрації скла виключає ведення прослуховування.
Радіозакладки. Радіозакладки (“жучки”) займають чільне місце серед засобів технічного несанкціонованого доступу до інформації. Вони бувають різних конструкцій – від дуже простих до дуже складних (що мають дистанційне керування, системи нагромадження та передачі сигналів у стислому вигляді
короткими серіями). Для підвищення секретності роботи потужність передавача радіозакладки роблять невеликою, але достатньою для перехоплення високочутливим приймачем з невеликої відстані. Робочу частоту для підвищення скритності часто вибирають поблизу потужної радіостанції. Мікрофони застосовують як вмонтовані, так і виносні. Вони бувають двох типів: акустичні (тобто чутливі до людських голосів) або вібраційні (які
перетворюють в електричні сигнали коливання, що виникають від людської мови в різноманітних жорстких конструкціях). Радіозакладки найчастіше працюють на високих частотах (вище 300кГц). Однак є й такі пристрої, які працюють у низькочастотному діапазоні (50-300кГц). В якості каналу
зв’язку використовують мережі електропроводки або телефонні лінії. Такі радіозакладки практично не випромінюють сигналів в оточуючий простір, тобто мають властивість підвищеної скритності. Якщо їх вмонтувати в світильник, розетку, подовжувач, фільтр-розетку, будь-який електроприлад, що працює від мережі змінного струму, то вони, живлячись від мережі, будуть довгий час передавати нею інформацію в будь- яку точку будинку і навіть за його межі. Для виявлення радіозакладок застосовують спеціальні вимірювальні приймачі, які автоматично сканують за діапазоном. За їх допомогою здійснюють пошук і фіксацію робочих частот радіозакладок, а також
визначають їх місцезнаходження. Дана процедура досить складна, вона вимагає відповідних теоретичних знань, практичних навиків роботи з різноманітною, досить складною вимірювальною апаратурою.
Якщо радіозакладки виключені в момент пошуку і не випромінюють сигнали, за яким можна їх виявити радіоприймальною апаратурою, то для їхнього пошуку (а також для пошуку мікрофонів
підслуховуючих пристроїв та мінімагнітофонів) застосовують спеціальну рентгенівську апаратуру і нелінійні детектори з вмонтованими генераторами мікрохвильових коливань низького рівня. Такі коливання проникають
крізь стіни, стелі, підлогу, меблі, портфелі та інші предмети – в довільне місце, де може бути захована
радіозакладка, мікрофон, магнітофон. Коли мікрохвильовий промінь стикається з транзистором, діодом чи мікросхемою, він відбивається назад до пристрою. Принцип дії в даному випадку схожий на міношукач, що
реагує на присутність металу. У випадках, коли немає пристроїв для пошуку радіозакладок, або немає часу на їхній пошук, можна скористатися генераторами перешкод для приймачів. Вони досить прості, надійні і цілком знімають інформацію з радіозакладок у широкому діапазоні частот.
Кодовий замок ще називають сейфовим, оскільки закриття сейфів – це одна з основних сфер його застосування. Варіантів відкриття кодового замку декілька: можна вводити код з клавіатури, встановлювати певну послідовність на циліндрах або вводити секретний код іншим чином. Кодові замки окрім сейфів використовуються, наприклад, як замки на валізах, дверях , кейсах. Діляться ці замки на дві категорії: механічні і електронні. 
Для відкриття механічного кодового замку не потрібний ключ, потрібно пам'ятати лише код. Механічний кодовий замок має вищу секретність, ніж той же ключовий. Та і відпадає вірогідність того, що ви втратите ключ.
Механічні кодові замки бувають з незмінним кодом, який додавався до паспорта, а бувають з змінним кодом – його може встановити сам користувач і з його допомогою відкривати замок. Замки з кодом, що змінюється, мають від 8 тисяч до 8 мільйонів можливих комбінацій. Кодовий замок з малою кількістю комбінацій зазвичай доповнюється ключовим замком.
Електронні кодові замки зручні в експлуатації і наділені підвищеною секретністю. Тут вам також не доведеться носити ключ, а вводити код з клавіатури, що набагато зручніше, ніж обертати циліндри на механічному замку. Кодову комбінацію електронного замку завжди можна замінити. Мінус таких замків полягає в тому, що вони бояться вологи і є необхідність експлуатації лише при кімнатній температурі. Через 8-12 років експлуатації електронного замку висока вірогідність його виходу з ладу.
Біометричні замки стали актуальні з кінця дев?яностих, коли відбувся стрибок в області біометричних технологій, як тільки зросла точність розпізнавання сенсором папілярного узору пальця. Крім того, відбулось істотне здешевлення цих технологій.
Папілярний узор унікальний для кожної людини - саме це лежить в основі дії всіх біометричних замків. «Замок дізнається» свого господаря, який прикладає палець до спеціального сенсора - пристрою, що візуально сприймає папілярний узор. Біометричний замок володіє пам’яттю на певну кількість папілярних узорів. Біометричні замки володіють всіма характеристиками механічних замків: взломостойкостью і секретністю.По рівню взломостойкості біометричні замки вже сьогодні наближаються до механічних середнього і вище середнього рівня (по загальноприйнятій міжнародній класифікації middle security і high security), а по секретності вони, як мінімум, не поступаються механічним замкам з високим ступенем захисту (від 3 млн. комбінацій).
Деякі виробники біометричних замків вважають за краще дублювати механізм розпізнавання простим механічним ключем або кодовим ідентифікатором. Це може стати в нагоді у випадку, якщо сенсор з тієї або іншої причини не хоче «розпізнавати» свого господаря.
Охоронна сигналізація (ОС)  Охоронна сигналізація розрахована на попередження несанкціонованого доступу в приміщення.
Як правило, вона складається з охоронної панелі (централі) - приладі, який збирає і аналізує інформацію, що поступила від охоронних датчиків. Ця ж охоронна централь виконує заздалегідь запрограмовані в ній функції, що виконуються при спрацюванні датчиків. Також до складу устаткування входить пульт управління, який відображує стан сигналізації, служить для її програмування і здійснює постановку і зняття з охорони. У мінімальний набір також необхідно включити джерело безперебійного живлення (ДБЖ), кабельну мережу і, звичайно ж, охоронні датчики. Самі ж датчики бувають багатьох видів, залежно від того, на який чинник вони реагують. Найбільш поширені з них – об'ємні інфрачервоні (ІЧ-ДАТЧИКИ), магнітоконтактні (геркони), акустичні, вібраційні, ультразвукові, променеві, ємнісні, а також датчики з направленою діаграмою виявлення.
Датчики для охоронної сигналізації.Об'ємні датчики або датчики руху, це неточні назви ІЧ-ДАТЧИКІВ, чутливим елементів яких є ПИР елемент. Це сенсор, який уловлює теплове випромінювання. Картинку він бачить як би розбиту на сектори, за допомогою лінзи Френеля. І якщо теплова пляма рухається, з сектора в сектор відбувається спрацювання. Серед таких датчиків є моделі, які можуть розрізняти людину і домашніх тварин за розміром теплової плями. Ці датчики не дуже дорогі і досить надійні. Магнітоконтактні (геркони) датчики в основному застосовуються на першому рубежі охорони. Вони встановлюються на дверях і вікнах і відстежують їх відкриття або закриття. Два магніти встановлюються напроти один одного: один на рухливій частині дверей або вікна, а інший на нерухомій його частині. Коли контакт між двома магнітами зникає, датчик негайно передає сигнал на контрольну панель. Цей тип датчиків найдешевший, дуже надійніший і з мінімальним споживанням струму. Хоча, в системі охоронної сигналізації, тільки з такими датчиками є ряд недоліків: наприклад, проникнути на територію приміщення, що охороняється, можна не лише через вікна або двері – зловмисники можуть проникнути, через вентиляційні шахти або просто розбити скло вікна і не відкривати раму. Тому використання таких датчиків в ОС рекомендується комбінований з іншим типом датчиків, наприклад, акустичних. Акустичні датчики якраз реагують на гучний звук – у тому числі, звук розбитого скла. У найбільш сучасних з них встановлений мікропроцесор, який аналізує звукову діаграму і не переплутає звук розбитого скла з іншим різким звуком. Крім того, в пам'ять таких датчиків закладені звуки розбиття різних типів скла. Це може бути звичайне скло, стекло армоване, триплекс. Цей чинник значно знижує можливість випадкового спрацювання сигналізації. Вібраційні датчики передбачають захист стін від пролому, сейфів від розтину і вікон від розбиття. Як випливає з назви, вони реагують на вібрацію. Ці датчики досить складні в налаштуванні і допускають більше помилок. Вони чутливі до роботи великих механізмів, руху трамваїв, поїздів. Але в деяких випадках їм немає альтернативи. Ультразвукові датчики працюють за принципом локатора. Вони випускають і приймають ультразвукові коливання. Якщо в полі їх видимості потрапляє рухомий предмет, довжина хвилі трохи міняється, відповідно до закону Доплера. Це і служить сигналом для спрацювання датчика. Ці датчики незамінні у гарячих цехах і довгих коридорах. Променеві датчики служать для перекриття значних просторів, і складаються з приймача і передавача. При перетині невидимого неозброєним оком променя відбувається спрацювання. Це досить дорогі і капризні датчики, що служать в основному для охорони периметра. Вони ставляться вздовж огорожі, і працюють постійно в будь-яких погодних умовах. Ємнісні датчики застосовуються для охорони особливо коштовних предметів. Наприклад, сейфів або предметів мистецтва. Принцип їх роботи заснований на створенні поблизу об'єкту, що охороняється, поля з певною ємністю. При попаданні всередину будь-якого предмету ємність поля міняється, що у свою чергу приводить до спрацювання охоронної сигналізації. Цей тип датчиків дуже складний в налаштуванні, досить дорігий і в порівнянні з іншими датчиками має більші габарити

Програмні методи захисту
 Firewall, буквально «стіна від пожежі» — пристрій або набір пристроїв, сконфігурованих щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно набору правил і інших критеріїв.
Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або  роутер) , або програмного забезпечення, що встановлюється на персональний комп'ютер чипроксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).
В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на:
stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;
stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DoS-атаками та вразливістю деяких протоколів мереж.
Web Cache Communication Protocol (WCCP) розроблений компанією Cisco протокол перенаправлення контенту. Забезпечує механізм перенаправлення потоку трафіка в реальному часі. Надає можливість виконувати запити контенту локально.
Anti-Spyware
Spyware шпигунська программа , яка встановлюється з метою збору інформації про користувача і конфігурацій комп’ютера без відома. Може змінювати настройки.
Програми Anti-Spyware можуть боротись із Spyware двома способами:
Забезпечують захист в режимі реального часу, запобігають інсталяції
Spyware на комп’ютері. Подібним способом працюють антивіруси.
Виявляють і видаляють Spyware , який вже встиг встановитись. Цей тип
Anti-Spyware , трохи простіший і популярніший.
Антивірус - програмний засіб, призначений для боротьби з вірусами.
Як треба з визначення, основними завданнями антивірусу є:
Перешкоджання проникненню вірусів у комп'ютерну систему
Виявлення наявності вірусів у комп'ютерній системі
Усунення вірусів з комп'ютерної системи без нанесення ушкоджень іншим об'єктам системи
Мінімізація збитку від дій вірусів
Технології, застосовувані в антивірусах, можна розбити на дві групи -
Технології сигнатурного аналізу
Технології імовірнісного аналізу
Сигнатурний аналіз - метод виявлення вірусів, що полягає в перевірці наявності у файлах сигнатур вірусів.Сигнатурний аналіз є найбільш відомим методом виявлення вірусів і використається практично у всіх сучасних антивірусах. Для проведення перевірки антивірусу необхідний набір вірусних сигнатур, що зберігається в антивірусній базі.
З іншого боку, наявність сигнатур вірусів припускає можливість лікування інфікованих файлів, виявлених за допомогою сигнатурного аналізу.Грамотна реалізація вірусної сигнатури дозволяє виявляти відомі віруси зі стовідсотковою ймовірністю.
Технології імовірнісного аналізу у свою чергу підрозділяються на три категорії:
Евристичний аналіз
Поведінковий аналіз
Аналіз контрольних сум
Евристичний аналіз - технологія, заснована на імовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об'єктів. У процесі евристичного аналізу перевіряється структура файлу, його відповідність вірусним шаблонам. Найбільш популярною евристичною технологією є перевірка вмісту файлу на предмет наявності модифікацій уже відомих сигнатур вірусів й їхніх комбінацій. Це допомагає визначати гібриди й нові версії раніше відомих вірусів без додаткового відновлення антивірусної бази. Евристичний аналіз застосовується для виявлення невідомих вірусів, і, як наслідок, не припускає лікування. Дана технологія не здатна на 100% визначити вірус перед нею чи ні, і як будь-який імовірнісний алгоритм грішить помилковими спрацьовуваннями.
Поведінковий аналіз - технологія, у якій рішення про характер об'єкта, що перевіряє, приймається на основі аналізу виконуваних їм операцій.
Поведінковий аналіз досить вузько застосуємо на практиці, тому що більшість дій, характерних для вірусів, можуть виконуватися й звичайними додатками. Найбільшу популярність одержали поведінкові аналізатори скріптів і макросів, оскільки відповідні віруси практично завжди виконують ряд однотипних дій. Наприклад, для впровадження в систему, майже кожен макровірус використає той самий алгоритм: у який-небудь стандартний макрос, що запускається автоматично середовищем Microsoft Office при виконанні стандартних команд (наприклад, "Save", "Save As", "Open", і т.д.), записується код, що заражає основний файл шаблонів normal.dot і кожен документ, що відкриває знову.
Аналіз контрольних сум - це спосіб відстеження змін в об'єктах комп'ютерної системи. На підставі аналізу характеру змін - одночасність, масовість, ідентичні зміни довжин файлів - можна робити вивід про зараження системи.
Аналізатори контрольних сум (також використається назва "ревізори змін") як і поведінкові аналізатори не використають у роботі додаткові об'єкти й видають вердикт про наявність вірусу в системі винятково методом експертної оцінки. Більша популярність аналізу контрольних сум пов'язана зі спогадами про однозадачні операційні системи, коли кількість вірусів бути відносно невеликим, файлів було небагато й мінялися вони рідко. Сьогодні ревізори змін втратили свої позиції й використаються в антивірусах досить рідко. Частіше подібні технології застосовуються в сканерах при доступі - при першій перевірці з файлу знімається контрольна сума й міститься в кеші, перед наступною перевіркою того ж файлу сума знімається ще раз, рівняється, і у випадку відсутності змін файл уважається незараженим.
Анти-Фишинг 
Модуль Анти-Фишинг створений для повідомлення користувача про надходження в його поштову скриньку фишинговых листів. Для цього була розроблена нова технологія, з можливістю додавання нових атак фишинга модулем автоматичного відновлення.
Фишинг-Атаки, як правило, являють собою поштові повідомлення від нібито фінансових структур, що містять посилання на їхні сайти. Текст повідомлення переконує скористатися посиланням і ввести на сайті, що відкрився, конфіденційну інформацію, наприклад, номер кредитної карти або свої ім'я й пароль персональної сторінки інтернет-банку, де можна робити фінансові операції. Посилання на фишинг-сайт може бути спрямована не тільки листом, але й іншими доступними для цього способами, наприклад, у тексті ICQ-Повідомлення. Анти-Фишинг відслідковує спроби відкриття фишинг-сайту й блокує його.
URL Filtering
Спам (англ. spam) — масова розсилка кореспонденції рекламного чи іншого характеру людям, які не висловили бажання її одержувати. Передусім термін «спам» стосується рекламних електронних листів.
Існує програмне забезпечення (ПЗ) для автоматичного визначення спаму (т.зв. фільтри). Воно може застосовуватися кінцевими користувачами або на серверах. Це ПЗ має два основні підходи.
Перший полягає в аналізі змісту листа на основі чого робиться висновок, спам це чи ні. Якщо лист класифікований як спам, він може бути позначений, переміщений в іншу папку або навіть вилучений. Таке ПЗ може працювати як на сервері, так і на комп'ютері клієнта. При такому підході ви не бачите відфільтрованого спаму, але продовжуєте повністю платити витрати, пов'язані з його прийомом, тому що антиспамне ПЗ в будь-якому випадку одержує кожен спамерський лист (затрачаючи ваші гроші), а тільки потім вирішує показувати його чи ні.
Другий підхід базується на класифікації відправника як спамера, не заглядаючи в текст листа. Для визначення застосовуються різні методи. Це ПЗ може працювати тільки на сервері, який безпосередньо приймає пошту. При такому підході можна зменшити витрати — гроші витрачаються тільки на спілкування зі спамерскими поштовими програмами (тобто на відмову приймати листи) і звертання до інших серверів (якщо такі потрібні) при перевірці. Виграш, однак, не такий великий, як можна було б очікувати. Якщо одержувач відмовляється прийняти лист, спамерська програма намагається обійти захист і відправити його іншим способом. Кожну таку спробу доводитися відбивати окремо, що збільшує навантаження на сервер.
Місце встановлення антиспамного ПЗ (комп'ютер кінцевого користувача чи поштовий сервер, наприклад, провайдера) визначає те, хто буде платити витрати, пов'язані з фільтрацією спаму.
Якщо спам фільтрує кінцевий користувач, то він і буде платити витрати (а можливо й провайдер, якщо пошта «безкоштовна»), тому що буде змушений одержувати всі повідомлення, включно зі спамом.Якщо спам фільтрує сервер, то користувач не несе витрат, тому що одержує тільки корисну кореспонденцію, а усі витрати лягають на власника сервера.
.Чорні списки
У чорні списки заносяться IP-адреси комп'ютерів, про які відомо, що з них ведеться розсилання спаму. Також широко використовуються списки комп'ютерів, які можна використовувати для розсилання — «відкриті релеї» і «відкриті проксі», а також — списки «діалапів» — клієнтських адрес, на яких не може бути поштових серверів. Можна використовувати локальний список або список який підтримує хтось інший. Завдяки простоті реалізації, широке поширення одержали чорні списки, запит до яких здійснюється через службу DNS. Вони називаються DNSBL (DNS Black List). В даний час цей метод не дуже ефективний. Спамери знаходять нові комп'ютери для своїх цілей швидше, ніж їх встигають заносити в чорні списки. Крім того, кілька комп'ютерів, що відправляють спам, можуть скомпрометувати весь поштовий домен і тисячі законослухняних користувачів на невизначений час будуть позбавлені можливості відправляти пошту серверам, що використовують такий чорний список.
Policy Management
Групова політика — це набір правил, відповідно до яких відбувається налаштування робочого середовища Windows. Групові політики створюються в домені та реплікуються в межах домену. Об'єкт групової політики (Group Policy Object, GPO) складається з двох фізично розділених складових: контейнера групової політики (Group Policy Container, GPC) та шаблону групової політики (Group Policy Template, GPT). Ці два компоненти містять в собі всю інформацію про параметри робочого середовища, що входять до складу об'єкта групової політики. Продумане застосування об'єктів GPO до елементів каталогу Active Directory дозволяє створювати ефективне та легко кероване комп'ютернеробоче середовище на базі ОС Windows. Політики застосовуються зверху вниз ієрархією каталогу Active Directory.