Цялостна антивирусна защита на локалната мрежа
 |
Днес няма нужда да се доказва необходимостта от изграждане на антивирусна защита за всяка информационна система. Според западни анализатори глобалните щети от проникването на вируси, червеи, троянски коне и други злонамерени програми варират от 8 до 12 милиарда долара. Достатъчно е да си припомним последните епидемии, които обхванаха целия свят (I-Worm.LoveLetter, I-Worm.Nimda, I-Worm.Klez). В същото време опасността от вируси нараства все повече всяка година. Това се обяснява, от една страна, с нарастващия брой и разнообразие от компютърни инфекции, а от друга страна, с уязвимостта на локалните мрежи поради проникването на вируси в тях от външни мрежи, включително чрезканалите за електронна поща на Интернет.
Но въпреки това на практика антивирусната защита не се обръща нужното внимание. Дори разработчиците на сложни системи за информационна сигурност често се ограничават до препоръки за избор на антивирусен пакет и също така предоставят помощ при настройката му.
Опасността от заразяване на компютърни мрежи е реална за всяко предприятие, но вирусна епидемия наистина може да се развие в локалните мрежи на големи икономически и индустриални комплекси с териториално разклонена инфраструктура.Техните компютърни мрежи обикновено се изграждат на етапи, като се използва различен хардуер и софтуер. Очевидно за такива предприятия проблемът с антивирусната защита става много труден не само технически, но и финансово.
В същото време решаването на този проблем се постига чрез комбинация от организационни мерки и софтуерни и хардуерни решения. Този подход не изисква големи технически и незабавнифинансови разходи и може да се използва завсеобхватна антивирусназащита на локалната мрежа на всяко предприятие.
Следните принципи могат да послужат като основа за изграждане на такава система за антивирусна защита: принципът на прилагане на единна техническа политика при обосноваване на избора на антивирусни продуктиза различнисегменти на локална мрежа; принципът на пълно покритие от системата заантивирусна защитана цялата локална мрежа на организацията;принцип на непрекъснатостнаблюдение на локалната мрежа на предприятието, за навременно откриване на компютърна инфекция; принципът на централизирано управление на антивирусната защита;
Принципът на пълно покритиена системата за антивирусназащита на локалната мрежа предвижда постепенно въвеждане на софтуер за антивирусна защита в мрежата до нейното пълно насищане в комбинация с организационни и режимни мерки за защита на информацията.
Принципът на непрекъснат контролнад антивируснотосъстояние на локалната мрежа предполага такава организация на нейната защита, която осигурява постоянна възможност занаблюдение на състоянието на мрежата за откриване на вируси.
Принципът на централизирано управление на антивирусната защита осигурява управление на системата от едно тяло с помощта на хардуер и софтуер. Именно този орган организира централизиранконтрол в мрежата, получава контролни данни или потребителски доклади от техните работни места за откриване на вируси и осигурява изпълнението на приетите решения за управление на системата за антивирусна защита.
Като се вземат предвид тези принципи, в интегрираната система за информационна сигурност се създава звено за антивирусна защита, което трябва да решава следните задачи: придобиване,инсталиране и навременна подмяна на антивирусни пакети на сървъри и потребителски работни станции; контрол на правилното използване на антивирусен софтуер от потребителите;откриване на вирусив локалната мрежа, тяхното своевременно лечение, премахване на заразени обекти, локализиране назаразени мрежови участъци; своевременно уведомяване на потребителите за открити или възможни вируси, техните признаци и характеристики.
За решаването на тези проблеми в интегрираната система за информационна сигурност, в допълнение към администраторите за информационна сигурност, се създават администратори за антивирусна защита. Ако локалната мрежа е малка или добре оборудвана с антивирусен софтуер, тогава назначаването на специален администратор за антивирусна защита най-често е неподходящо, тъй като неговите функции могат да се изпълняват отадминистратор за мрежова сигурност. Освен това трябва да се определят процедурите за предаване на съобщения за вируси от потребители и уведомления от администратори за фактите ивъзможността за вирусниинфекции с вируси в локалната мрежа. Ефективността на създадената подсистема за антивирусна защита зависи и от следните допълнителни условия: е въведена в базата данни с фиксиране на условията на лиценза); прехвърлянето на компютър от един потребител на друг трябва да се извърши с пререгистрацияна мрежовата връзка;неутрализиране; в отдалечени структурни подразделения трябва да се назначат служители на свободна практика, отговорни за антивирусната защита.
Практическата реализация на антивирусна защита на информацията на сървъри икомпютри на корпоративна мрежа се осъществява с помощта на редица софтуерни и хардуерни методи, които са стандартни, но имат свои специфики, обусловени отхарактеристиките на корпоративната мрежа. Те включват: използване на антивирусни пакети; архивиране на информация; резервация на информация; поддържане на база данни с вируси и техните характеристики;
Нека разгледаме тези методи по-подробно.
Основният метод за антивирусна защита е инсталирането на антивирусни пакети. Изборът на антивирусен софтуер е една от най-важните задачи на антивирусната защита, от чието правилно решение ще зависи антивирусната сигурност на системата, както и разходите за нейната поддръжка в бъдеще. Използваните антивирусни инструменти трябва да отговарят на следните общи изисквания: системата трябва да е съвместима със сървърни и PC операционни системи; системата за антивирусна защита не трябва да нарушава логиката на другите използвани приложения; наличие на пълен набор от антивирусни функции, необходими за осигуряване на антивирусен контрол и неутрализиране на всички известни вируси; честота на актуализиране на антивирусния софтуер и гаранции на доставчиците (разработчиците) относно неговата навременност.
За разлика от други подсистеми за информационна сигурност, в тази област липсват ясно формулирани показатели за сигурност и съответните критерии за сравняване на различни антивирусни средства. По правило антивирусните комплекси се сравняват по следните показатели: откриване, лечение, блокиране, възстановяване, регистрация,гарантиране на интегритета, актуализации на бази данни с компютърни вируси, антивирусна защита с парола, инструменти за управление, осигуряване на дизайна, документация.
При цялостназащита на локална мрежа трябва да се обърне внимание на всички възможни точки на проникване на вируси в мрежата отвън.
Фигура 1 показва общатаструктура на антивируснатазащита на локалната мрежа. На първо ниво те защитават връзката с интернет или мрежата на доставчика на комуникационни услуги - това е защитна стена и пощенски шлюзове, тъй като според статистиката около 80% от вирусите влизат оттам. Трябва да се отбележи, че по този начин няма да бъдат открити повече от 30% от вирусите, тъй като останалите 70% ще бъдат открити само по време на изпълнение.
Използването на антивируси за защитни стени днес се свежда до филтриране на достъпа до интернет, като едновременно с това се проверява преминаващият трафик за вируси. Антивирусното сканиране, извършвано от такивапродукти, е много бавно и има изключително нисък процент на откриване, следователно, поради липсата на необходимост от филтриране на уебсайтовете, посещавани от потребителите, използването на такива продукти не е препоръчително.
Всички компоненти на информационната система, участващи в транспортирането на информация и/или нейното съхранение, са обект на антивирусна защита: файлови сървъри; работни станции; работни станции на мобилни потребители; резервен сървър; пощенски сървъри.
Като общо правило използването на един (базов) антивирусенпакет зазащита на локална мрежа изглежда най-подходящо. Анализът на антивирусния пазар обаче показва, че в случай, че имаме работа с голяма корпоративна мрежа, това не винаги е възможно порадихетерогенност на операционните платформи, използванив мрежови сегменти.
Следващата стъпка след избора на пакетите е тяхното тестване от администратора по сигурността на специален щанд на отдела за сигурност на информацията. Тази процедура ви позволява да идентифицирате грешки в антивирусния софтуер, да оцените неговата съвместимост със системния и приложния софтуер, използван на компютъри мрежови сървъри. Опитът показва, че подобно тестване далеч не е излишно, тъй като разработчикът не е в състояние да проучи напълно процеса на функциониране на своите антивирусни инструменти в реални мрежи. Резултатите от теста се изпращат на разработчика на пакета, което му позволява да направи необходимите подобрения преди началото на масовата инсталация на последния.
Съвременните антивирусни пакети съдържат следните основни софтуерни компоненти: монитор (намира се резидентно в RAM паметта на компютъра и автоматично сканира обектите, преди да ги стартира или отвори; ако бъде открит вирус, програмата, в зависимост от настройките, може: да изтрие заразения обект, да го дезинфекцира, да откаже достъп до него); скенер (извършва сканиране на обекти за вируси по искане на потребителите); център за управление на мрежата (позволява ви да управляватекорпоративната мрежа на AVZ: да управлявате компонентите на пакета, да задавате графици за стартиране на скенер, автоматично актуализиране на антивирусни бази данни и т.н.); допълнителни модули, които осигуряват проверка на електронна поща и уеб страници в момента на получаване на информация.
Инсталирането на антивирусни пакети и тяхното конфигуриране се извършва от специалисти наотдела за поддръжка на мрежата. Програмите "монитор" и "скенер" се инсталират както на сървъри, така и на компютри, като първата е конфигурирана да бъде постоянно активирана.
Ако бъдат открити вируси, на потребителите не се препоръчва да се занимават със „самолечение“, тъй като това може да доведе до загуба на информация. В такива случаи те трябва да използват „горещата линия“ за връзка с администраторите на антивирусната защита, които вземат мерки за неутрализиране на вирусите и предотвратяване на по-нататъшно заразяване.