Антивирусная защита локальной сети

Способ оптимизации работы антивирусной программы — это создание различных её версий для компьютеров, служащих разным целям.

Часто антивирусные программы отличаются лишь наличием тех или иных специфических модулей и различием в интерфейсе, в то время как непосредственно антивирусная проверка осуществляется одной и той же антивирусной программой, называемой антивирусным ядром.

Антивирусный комплекс — набор антивирусных программ, предназначенных для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем.

В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

На практике антивирусной защите не уделяется должного внимания. Даже разработчики комплексных систем информационной безопасности часто ограничиваются рекомендациями по выбору антивирусного пакета, а также оказывают помощь в его настройке.

Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-разветвлённой инфраструктурой.

Практическая реализация антивирусной защиты информации на серверах и ПК корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети.

К ним относятся:

• · использование антивирусных пакетов;
• · архивирование информации;
• · резервирование информации;
• · ведение базы данных о вирусах и их характеристиках;

Рассмотрим эти методы более подробно.

Главным методом антивирусной защиты является установка антивирусных пакетов.

Выбор антивирусного ПО является одной из важнейших задач антивирусной защиты, от правильности решения которой в дальнейшем будут зависеть антивирусная безопасность системы, а также затраты на ее поддержание.

Используемые антивирусные средства должны удовлетворять следующим общим требованиям:

• · система должны быть совместима с операционными системами серверов и ПК;
• · система антивирусной защиты не должна нарушать логику работы остальных используемых приложений;
• · наличие полного набора антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;
• · частота обновления антивирусного ПО и гарантии поставщиков (разработчиков) в отношении его своевременности.

В отличие от других подсистем информационной безопасности в рассматриваемой области отсутствуют четко сформулированные показатели защищенности и соответствующие критерии сравнения различных антивирусных средств.

Как правило антивирусные комплексы сравниваются по следующим показателям:

• · обнаружение,
• · лечение,
• · блокирование,
• · восстановление,
• · регистрация,
• · обеспечение целостности,
• · обновление базы данных компьютерных вирусов,
• · защита антивирусных средств от доступа паролем,
• · средства управления,
• · гарантии проектирования,
• · документация.

Локальная сеть, как правило, содержит компьютеры двух типов ;

• 1) рабочие станции, за которыми непосредственно сидят люди,
• 2) сетевые серверы, используемые для служебных целей.

В соответствии с характером выполняемых функций сервера делятся на:

Сетевые, которые обеспечивают централизованное хранилище информации: файловые сервера, сервера приложений и другие.

Почтовые, на которых работает программа, служащая для передачи электронных сообщений от одного компьютера к другому.

Шлюзы, отвечающие за передачу информации из одной сети в другую.

Например, шлюз необходим для соединения локальной сети с Интернет.

Соответственно, выделяют четыре вида антивирусных комплексов для защиты:

• · рабочих станций,
• · файловых серверов,
• · почтовых систем
• · шлюзов.

Рабочие станции — это компьютеры локальной сети, за которыми непосредственно работают пользователи.

Главной задачей комплекса для защиты рабочих станций является обеспечение безопасной работы на рассматриваемом компьютере — для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты.

Сетевые сервераэто компьютеры, специально выделенные для хранения или обработки информации. Они обычно не используются для непосредственной работы за ними и поэтому в отличие от рабочих станций проверка электронной почты на наличие вирусов тут не нужна. Антивирусный комплекс для файловых серверов должен производить проверку в режиме реального времени и проверку по требованию.

Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов. То есть проверять другие файлы, размещенные на этом компьютере, он не обязан (для этого существует комплекс для защиты сетевых серверов). Поэтому к нему предъявляются требования по наличию собственно программы для проверки всей принимаемой и отправляемой почтовой корреспонденции в режиме реального времени, и дополнительно механизма проверки по требованию почтовых баз данных.

Аналогично в соответствии со своим назначением, антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных.

Поскольку все вышеперечисленные комплексы используют сигнатурный анализ, то в обязательном порядке в них должно входить средство для поддержания антивирусных баз в актуальном состоянии, то есть механизм их обновления.

Дополнительно часто оказывается полезным модуль для удаленного централизованного управления, который позволяет системному администратору со своего рабочего места настраивать параметры работы антивируса, запускать проверку по требованию и обновление антивирусных баз.

Несмотря на наличие антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует.

Это происходит по нескольким причинам:

• · Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках
• · Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы
• · Отсутствует программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются
• · Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.

Рис. 5. Общая структура антивирусной защиты локальной сети.

Существует несколько методов антивирусной защиты информационных систем (рис.5).

На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи — это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить, что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне невысокий уровень обнаружения, поэтому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и её хранении:

• · файл-серверы;
• · рабочие станции;
• · рабочие станции мобильных пользователей;
• · сервера резервного копирования;
• · почтовые сервера.

Как правило, использование одного (базового) антивирусного пакета для защиты локальной сети представляется наиболее целесообразным.

Однако анализ рынка антивирусных средств показывает, что в случае, когда мы имеем дело с большой корпоративной сетью, это не всегда возможно вследствие разнородности применяемых в сегментах сети операционных платформ.

Следующим после выбора пакетов шагом является их тестирование администратором безопасности на специальном стенде подразделения защиты информации.

Эта процедура позволяет выявить ошибки в антивирусном ПО, оценить его совместимость с системным и прикладным ПО, используемым на ПК и серверах сети. Опыт показывает, что такое тестирование оказывается далеко не лишним, поскольку разработчик не способен в полном объеме исследовать процесс функционирования своих антивирусных средств в условиях реальных сетей. Результаты тестирования направляются разработчику пакета, что позволяет тому провести необходимые доработки до начала массовой установки последнего.

Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:

• · монитор (резидентно размещает я в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может: удалить зараженный объект, вылечить его, запретить к нему доступ);
• · сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);
• · сетевой центр управления (позволяет организовать управление АВЗ корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т. д.);
• · дополнительные модули, обеспечивающие проверку электронной почты и Web-страниц в момент получения информации.

Установку антивирусных пакетов и их настройку выполняют специалисты подразделения, осуществляющего техническое обслуживание сети. Программы «монитор» и «сканер» устанавливаются как на серверах, так и на ПК, причем первый настраивается на постоянное включение.

Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации, позволяющие исключить потерю информации в случае вирусного заражения.

Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью.

Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.