Комплексная антивирусная защита локальной сети.

На сегодняшний день нет необходимости доказывать необходимость построения антивирусной защиты любой информационной системы.

На практике антивирусной защите не уделяется должного внимания. Даже разработчики комплексных систем информационной безопасности часто ограничиваются рекомендациями по выбору антивирусного пакета, а также оказывают помощь в его настройке.

Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-развлетвлённой инфраструктурой.

Практическая реализация антивирусной защиты информации на серверах и ПК корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети.

К ним относятся:

• использование антивирусных пакетов;

• архивирование информации;

• резервирование информации;

• ведение базы данных о вирусах и их характеристиках;

Рассмотрим эти методы более подробно.

Главным методом антивирусной защиты является установка антивирусных пакетов.

 

Выбор антивирусного ПО является одной из важнейших задач антивирусной защиты, от правильности решения которой в дальнейшем будут зависеть антивирусная безопасность системы, а также затраты на ее поддержание. 

Используемые антивирусные средства должны удовлетворять следующим общим требованиям:

• система должны быть совместима с операционными системами серверов и ПК;

• система антивирусной защиты не должна нарушать логику работы остальных используемых приложений;

• наличие полного набора антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;

• частота обновления антивирусного ПО и гарантии поставщиков (разработчиков) в отношении его своевременности.

В отличие от других подсистем информационной безопасности в рассматриваемой области отсутствуют четко сформулированные показатели защищенности и соответствующие критерии сравнения различных антивирусных средств.

 

Как правило антивирусные комплексы сравниваются по следующим показателям:

• обнаружение,

• лечение,

• блокирование,

• восстановление,

• регистрация,

• обеспечение целостности,

• обновление базы данных компьютерных вирусов,

• защита антивирусных средств от доступа паролем,

• средства управления,

• гарантии проектирования,

• документация.

Локальная сеть, как правило, содержит компьютеры двух типов:  

1) рабочие станции, за которыми непосредственно сидят люди,

2) сетевые серверы, используемые для служебных целей.

В соответствии с характером выполняемых функций сервера делятся на:

• Сетевые, которые обеспечивают централизованное хранилище информации: файловые сервера, сервера приложений и другие.

• Почтовые, на которых работает программа, служащая для передачи электронных сообщений от одного компьютера к другому.

• Шлюзы, отвечающие за передачу информации из одной сети в другую.

 

Например, шлюз необходим для соединения локальной сети с Интернет.

Соответственно, выделяют четыре вида антивирусных комплексов для защиты:

• рабочих станций,

• файловых серверов,

• почтовых систем

• шлюзов.

Рабочие станции - это компьютеры локальной сети, за которыми непосредственно работают пользователи.

Главной задачей комплекса для защиты рабочих станций является обеспечение безопасной работы на рассматриваемом компьютере - для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты.

Сетевые сервера- это компьютеры, специально выделенные для хранения или обработки информации. Они обычно не используются для непосредственной работы за ними и поэтому в отличие от рабочих станций проверка электронной почты на наличие вирусов тут не нужна.

Антивирусный комплекс для файловых серверов должен производить проверку в режиме реального времени и проверку по требованию.

Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов. То есть проверять другие файлы, размещенные на этом компьютере, он не обязан (для этого существует комплекс для защиты сетевых серверов). Поэтому к нему предъявляются требования по наличию собственно программы для проверки всей принимаемой и отправляемой почтовой корреспонденции в режиме реального времени, и дополнительно механизма проверки по требованию почтовых баз данных.

Аналогично в соответствии со своим назначением, антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных.

Поскольку все вышеперечисленные комплексы используют сигнатурный анализ, то в обязательном порядке в них должно входить средство для поддержания антивирусных баз в актуальном состоянии, то есть механизм их обновления.

Дополнительно часто оказывается полезным модуль для удаленного централизованного управления, который позволяет системному администратору со своего рабочего места настраивать параметры работы антивируса, запускать проверку по требованию и обновление антивирусных баз.

Методы антивирусной защиты информационных систем

 

Несмотря на наличие антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует.

Это происходит по нескольким причинам:

· Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках

· Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы

· Отсутствует программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются

· Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.

При комплексной защите локальной сети необходимо уделить внимание всем возможным точкам проникновения вирусов в сеть извне.

        Рис.1 Общая структура антивирусной защиты локальной сети.

На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить, что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне невысокий уровень обнаружения, по

 Поэтому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и/или её хранении:

· файл-серверы;

· рабочие станции;

· рабочие станции мобильных пользователей;

· сервера резервного копирования;

· почтовые сервера.

Как правило, использование одного (базового) антивирусного пакета для защиты локальной сети представляется наиболее целесообразным.

Однако анализ рынка антивирусных средств показывает, что в случае, когда мы имеем дело с большой корпоративной сетью, это не всегда возможно вследствие разнородности применяемых в сегментах сети операционных платформ.

Следующим после выбора пакетов шагом является их тестирование администратором безопасности на специальном стенде подразделения защиты информации.

Эта процедура позволяет выявить ошибки в антивирусном ПО, оценить его совместимость с системным и прикладным ПО, используемым на ПК и серверах сети. Опыт показывает, что такое тестирование оказывается далеко не лишним, поскольку разработчик не способен в полном объеме исследовать процесс функционирования своих антивирусных средств в условиях реальных сетей. Результаты тестирования направляются разработчику пакета, что позволяет тому провести необходимые доработки до начала массовой установки последнего.

Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:

• монитор (резидентно размещается в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может: удалить зараженный объект, вылечить его, запретить к нему доступ);

• сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);

• сетевой центр управления (позволяет организовать управление АВЗ корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т.д.);

• дополнительные модули, обеспечивающие проверку электронной почты и Web-страниц в момент получения информации.

Установку антивирусных пакетов и их настройку выполняют специалисты подразделения, осуществляющего техническое обслуживание сети. Программы "монитор" и "сканер" устанавливаются как на серверах, так и на ПК, причем первый настраивается на постоянное включение.

Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации, позволяющие исключить потерю информации в случае вирусного заражения.

Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью.

Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.

Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке антивирусных продуктов. Как правило, требуется создание отдельной подсистемы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего вновь приобретаемого антивирусного ПО, а также установке антивирусных пакетов на почтовые серверы

 

Типы компьютерных вирусов

Компьютерные вирусы бывают следующих типов:

1. Файловые вирусы поражают файлы exe или com. Первым заражается командный процессор, а через него все остальные программы. Наиболее опасны резидентные вирусы, которые остаются в оперативной памяти постоянно.

2. Загрузочные или бутовые вирусы – поражают загрузочные секторы жестких дисков и дискет. Они наиболее опасны для компьютера, так как в результате их разрушительной деятельности компьютер перестает загружать операционную систему. Иногда заражение происходит даже при просмотре содержания зараженной дискеты.

3. Сетевые вирусы поражают компьютеры, которые работают в локальной и глобальной сети.

4. Макровирусы – программы, представляющие собой макрокоманды, использующиеся в сложных приложениях. В настоящее время макровирусы часто распространяются через программы пакета Microsoft Office, так как файлы документов и шаблонов включают макросы. В качестве примеров макровирусов можно привести Cap, Wazzu, Npad.

5. Пакетные вирусы – наиболее простой тип вирусов, у которых ядро программы содержится в командном пакетном файле с расширением bat.

 

 Признаки проявления вируса:

При заражении компьютера вирусом важно обнаружить его. Для этого необходимо знать об основных признаках проявления вирусов. К ним можно отнести следующие:

1. Прекращение работы или неправильная работа ранее успешно функционировавших программ;

2. Медленная работа компьютера;

3. Невозможность загрузки операционной системы;

4. Исчезновение файлов и каталогов или искажение их содержимого;

5. Изменение даты и времени модификации файлов;

6. Изменение размеров файлов;

7. Неожиданное значительное увеличение количества файлов на диске;

8. Существенное уменьшение размера свободной оперативной памяти;

9. Вывод на экран непредусмотренных сообщений или изображений;

10. Подача непредусмотренных звуковых сигналов;

11. Частые зависания и сбои в работе компьютера.

 

Способы борьбы с компьютерными вирусами:

Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:

1. Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса

2. Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков

3. Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры

4. Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.

5. Создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки

6. Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках.