Защита корпоративной сети от вирусов

Комплексная антивирусная защита локальной сети

На сегодняшний день нет необходимости доказывать необходимость построения антивирусной защиты любой информационной системы. По оценкам западных аналитиков общемировой ущерб от проникновения вирусов, червей, троянских и других вредоносных программ составляет от 8 до 12 миллиардов долларов. Достаточно вспомнить последние эпидемии, охватившие весь мир (I-Worm.LoveLetter, I-Worm.Nimda, I-Worm.Klez). При этом вирусная опасность с каждым годом растёт всё больше и больше. Объясняется это, с одной стороны возрастающим количеством и разнообразием компьютерной инфекции, а с другой - уязвимостью локальных сетей, за счёт проникновения в них вирусов из внешний сетей, в том числе по каналам электронной почты сети Internet.

Но, тем не менее, на практике антивирусной защите не уделяется должного внимания. Даже разработчики комплексных систем информационной безопасности часто ограничиваются рекомендациями по выбору антивирусного пакета, а также оказывают помощь в его настройке.

Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-развлетвлённой инфраструктурой. Их вычислительные сети, как правило, создавались поэтапно, с использованием различного аппаратного и программного обеспечения. Очевидно, что для таких предприятий вопрос антивирусной защиты становится весьма сложным, причём не только в техническом, но и в финансовом плане.

Вместе с тем решение этого вопроса достигается путём сочетания организационных мер и программно-технических решений. Данный подход не требует больших технических и немедленных финансовых затрат, и может быть применён для комплексной антивирусной защиты локальной сети любого предприятия.

В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:

принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;

принцип полноты охвата системой антивирусной защиты всей локальной сети организации;

принцип непрерывности контроля локальной сети предприятия, для своевременного обнаружения компьютерной инфекции;

принцип централизованного управления антивирусной защитой;

Принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия. Эта политика носит долгосрочный характер, утверждается руководством предприятия и является основой для целевого и долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшее обновление.

Принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации.

Принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов.

Принцип централизованного управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств. Именно этот орган организует централизованный контроль в сети, получает данные контроля или доклады пользователей со своих рабочих мест об обнаружении вирусов и обеспечивает внедрение принятых решений по управлению системой антивирусной защиты.

С учётом этих принципов в комплексной системе информационной безопасности создаётся подразделение антивирусной защиты, которая должна решать следующие задачи:

приобретение, установка и своевременная замена антивирусных пакетов на серверах и рабочих станциях пользователей;

контроль правильности применения антивирусного ПО пользователями;

обнаружение вирусов в локальной сети, их оперативное лечение, удаление зараженных объектов, локализация зараженных участков сети;

своевременное оповещение пользователей об обнаруженных или возможных вирусах, их признаках и характеристиках.

Для решения этих задач в комплексной системе информационной безопасности кроме администраторов информационной безопасности создаются администраторы антивирусной защиты. Если ЛВС небольшая или достаточно хорошо оснащена антивирусным ПО, то назначение специального администратора антивирусной защиты чаще всего нецелесообразно, так как его функции может выполнять администратор безопасности сети.

Для организации функционирования антивирусной защиты необходима разработка внутренних организационно-распорядительных документов. Кроме того, должны быть определены порядки передачи сообщений о вирусах от пользователей и оповещений администраторов о фактах и возможностях вирусных заражений локальной сети.

Эффективность создаваемой подсистемы антивирусной защиты зависит также от выполнения следующих дополнительных условий:

подключение ПК пользователей в корпоративную сеть должно производиться только по заявке с отметкой администратора антивирусной защиты об установке лицензионного антивирусного ПО (заявка заносится в базу данных с фиксацией сроков действия лицензии);

передачу ПК от одного пользователя другому необходимо производить с переоформлением подключения к сети;

обнаруженные вирусы целесообразно исследовать на стенде подразделения защиты информации с целью выработки рекомендаций по их корректному обезвреживанию;

в удаленных структурных подразделениях следует назначить внештатных сотрудников, ответственных за антивирусную защиту.

Практическая реализация антивирусной защиты информации на серверах и ПК корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети. К ним относятся:

использование антивирусных пакетов;

ведение базы данных о вирусах и их характеристиках;

Рассмотрим эти методы более подробно.

Главным методом антивирусной защиты является установка антивирусных пакетов. Выбор антивирусного ПО является одной из важнейших задач антивирусной защиты, от правильности решения которой в дальнейшем будут зависеть антивирусная безопасность системы, а также затраты на ее поддержание. Используемые антивирусные средства должны удовлетворять следующим общим требованиям:

система должны быть совместима с операционными системами серверов и ПК;

система антивирусной защиты не должна нарушать логику работы остальных используемых приложений;

наличие полного набора антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;

частота обновления антивирусного ПО и гарантии поставщиков (разработчиков) в отношении его своевременности.

В отличие от других подсистем информационной безопасности в рассматриваемой области отсутствуют четко сформулированные показатели защищенности и соответствующие критерии сравнения различных антивирусных средств. Как правило антивирусные комплексы сравниваются по следующим показателям: обнаружение, лечение, блокирование, восстановление, регистрация, обеспечение целостности, обновление базы данных компьютерных вирусов, защита антивирусных средств от доступа паролем, средства управления, гарантии проектирования, документация.

При комплексной защите локальной сети необходимо уделить внимание всем возможным точкам проникновения вирусов в сеть извне. На рисунке №1 приведена общая структура антивирусной защиты локальной сети. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить, что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и/или её хранении:

рабочие станции мобильных пользователей;

сервера резервного копирования;

Как правило, использование одного (базового) антивирусного пакета для защиты локальной сети представляется наиболее целесообразным. Однако анализ рынка антивирусных средств показывает, что в случае, когда мы имеем дело с большой корпоративной сетью, это не всегда возможно вследствие разнородности применяемых в сегментах сети операционных платформ.

Следующим после выбора пакетов шагом является их тестирование администратором безопасности на специальном стенде подразделения защиты информации. Эта процедура позволяет выявить ошибки в антивирусном ПО, оценить его совместимость с системным и прикладным ПО, используемым на ПК и серверах сети. Опыт показывает, что такое тестирование оказывается далеко не лишним, поскольку разработчик не способен в полном объеме исследовать процесс функционирования своих антивирусных средств в условиях реальных сетей. Результаты тестирования направляются разработчику пакета, что позволяет тому провести необходимые доработки до начала массовой установки последнего.

Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:

монитор (резидентно размещается в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может: удалить зараженный объект, вылечить его, запретить к нему доступ);

сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);

сетевой центр управления (позволяет организовать управление АВЗ корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т.д.);

дополнительные модули, обеспечивающие проверку электронной почты и Web-страниц в момент получения информации.

Установку антивирусных пакетов и их настройку выполняют специалисты подразделения, осуществляющего техническое обслуживание сети. Программы "монитор" и "сканер" устанавливаются как на серверах, так и на ПК, причем первый настраивается на постоянное включение.

При обнаружении вирусов пользователям не рекомендуется заниматься "самолечением", так как это может привести к потере информации. В таких случаях им следует по "горячей линии" обращаться к администраторам антивирусной защиты, которые принимают меры по обезвреживанию вирусов и предотвращению дальнейшего заражения.

Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации, позволяющие исключить потерю информации в случае вирусного заражения. Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью. Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.

Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке антивирусных продуктов. Как правило, требуется создание отдельной подсистемы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего вновь приобретаемого антивирусного ПО, а также установке антивирусных пакетов на почтовые серверы.

Kaspersky Lab

Данная статья посвящена безопасности крупной и средней компьютерной сети. Необходимо отметить, что с расширением роли информационных технологий в деятельности компаний говорить только о врусной атаке становится не вполне корректно, так как увеличивается число программ, которые не являясь вирусами, тем не менее способны принести не меньший вред. В первую очередь это относится к программам, ворующим пароли и позволящим осуществлять котроль за работой компьютеров незаметно для сотрудников вашей компании.

Рассмотрим стандартные составляющие корпоративной сети (рисунок 1).

Для начала рассмотрим основные принципы безопасности, которые позволяют многократно уменьшить вероятность попадания вируса в сеть.

Должно быть четкое разграничение задач и доступа различных пользователей (групп пользователей) в сети. Так, лучше иметь выделенную директорию для обмена данными между всеми пользователями сети или использовать для этого внутренний почтовый сервер компании.
Наличие в сети антивирусной программы.
Регулярное (не реже 1 раза в неделю, а общей директории — ежедневно) тестирование всего сервера на наличие вирусов всех типов с максимально возможными настройками.
Компьютер (компьютеры), связанные с внешним миром через модемы или выделенные каналы должны проверяться особенно тщательно и до того, как файлы, скачанные из Интернет, попадут в локальную сеть. При этом крайне желательна установка специального программного обеспечения, проверяющего внешний сетевой трафик как на наличие вирусов, так и на предмет попыток несанкционированного проникновения.

Как видно из перечисленного списка, покупка и установка антивирусного программного обеспечения является одним из ряда требований по обеспечению безопасности сети.

Анализируя критические для проникновения вирусов составляющие компьютерных сетей предприятий и тенденции развития антивирусного программного обеспечения, можно выделить следующие элементы, которые требуют антивирусной защиты:

Рабочие станции и переносные компьютеры;
Файловые сервера;
Серверы приложений (включая Почтовые системы, WEB-сервера);
Каналы обмена данными с внешним миром (например Интернет).

Необходимо отметить, что только подобная многослойная структура построения антивирусной защиты способна обеспечить максимальную защиту от вирусной угрозы. При этом вирус лишается возможности найти в сети нишу, в которой его существованию ничто не угрожает.

Анализируя современную динамику развития программ для проникновения в компьютерные сети компаний следует иметь в виду, что традиционные вирусы, которые способны заполнить диски или стереть информацию, являются лишь одной из разновидностей данного класса программ. Более того, широкое распространение информационных технологий, которые стали необходимым условием успешного развития компаний в любых областях, привело к тому, что практически вся информация хранится в электронном виде. Следствием этого стало широкое распространение так называемых вредоносных кодов. Данная категория программного обеспечения не является вирусом в традиционном понимании этого термина. Основной целью в данном случае является сбор информации (в первую очередь, паролей доступа) или даже полный контроль над работой компьютера, с последующей пересылкой данной информации заинтересованному лицу за пределами компании. При этом вред, наносимый компании, может во много раз превышать потери от традиционной вирусной атаки, которые могут быть к тому же сведены к минимуму при помощи грамотной системы резервного копирования информации.

С другой стороны, в настоящее время наблюдаются значительные изменения в традиционных вирусах. Прежде всего это связано с внедрением большого числа новых технологий компонентного построения систем, которые создают новые среды для распространия вирусов. При этом огромное количество файлов, из которых состоят современные программные продукты, привело к тому, что размеры перестали быть ограничивающим фактором в распространении вирусов и вредоносных кодов. Более того, многие из них даже не стремятся к полному внедрению в файлы, а просто копируют себя в системные директории. Действительно, определить наличие лишнего файла в этом случае оказывается практически невозможно.

Прежде чем переходить к описанию конкретных программных продуктов, предназначенных для защиты компьютеров и сетей от вирусов, хотелось бы отметить, что данную проблему нельзя рассматривать в отрыве от общей стратегии информационной безопасности компании. Здесь весьма уместно провести аналогии с традиционной медициной. Действительно, антивирусное программное обеспечение является лекарством, однако самый лучший способ быть здоровым — это избежать заражения. С этой точки зрения крайне важным является построение комплексной системы, которая бы позволила бы минимизировать возможные пути проникновения вирусов во внутреннюю сеть компании. Это тем более важно, что любое антивирусное программное обеспечение обеспечивает 100 % лечение только уже известных вирусов. В то время как новые модификации и, особенно, новые типы вирусов с очень большой вероятностью остаются незамеченными. Частично данная проблема решается при помощи программ для контроля за целосностью данных (типа AVP Inspector), однако они, как правило, лишь констатируют факт несанкционарованного изменения файлов, а лечение возможно лишь после появления новых версий антивирусов.

В настоящее время “Лаборатория Касперского” выпускает серию продуктов под общим названием AVP для защиты корпоративной сети и различных ее составляющих. Данные продукты можно разделить на 4 группы:

AVP для рабочих станций и автономных компьютеров;
AVP для файловых серверов;
AVP для серверов приложений;
Модули и продукты для сетевого администрирования и управления семейством продуктов AVP.

Прежде всего отметим, что практически все продукты (за исключением 16-битных) построены на основе единого ядра.

В данную категорию продуктов входят следующие основные продукты: AVP для Windows, AVP для OS/2, AVP для DOS (16-ти и 32-битные версии), AVP для Linux. При этом 16-битная версия для DOS в настоящий момент заменяется на 32-битную. При этом все версии (кроме 16-битных) имеют единое унифицированное ядро.

В настоящее время данная категория продуктов представлена версиями AVP для Novell Netware 3, 4, 5; AVP для NT Server; AVP Daemon для Linux.

AVP для Exchange, WEB Inspector. К данной категории можно отнести также AVP для Linux, который имеет открытое API для интеграции с прикладными приложениями различного типа.

В настоящий момент данная категория продуктов представлена Сетевым Центром Управления, который позволяет централизовать управление продуктами AVP в сетях, построенных на продуктах компании Microsoft и протоколе ТСР/IP. В других сетевых средах предлагается интеграция с системы сетевого управления таких компаний, как Microsoft, Novell, Tivoli, HP, CA и других компаний, работающих на данном рынке.

Avp Lite — это простой антивирусный пакет для MS-DOS и Windows 95/98. Он состоит из двух компонентов:

AVP Monitor для Windows 95/98;
AVP Scanner для MS-DOS.

AVP Monitor — это программа, которая во время работы компьютера постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера и предотвращение заражения системы.

AVP Scanner для MS-DOS — это 32-битное DOS-приложение с графическим интерфейсом для сканирования файлов по запросу пользователя. К AVP Scanner приложен файл со стандартными настройками, что существенно облегчает использование продукта. Данная программа рекомендована для использования в тех ситуациях, когда невозможна загрузка компьютера. Запишите AVP Scanner на системную дискету, а антивирусные базы на другую дискету, тогда в случае вирусной атаки загрузите компьютер с системной дискеты и запустите программу-сканер.

Антивирусный пакет AVP Lite рекомендован “Лабораторией Касперского” начинающим пользователям для домашнего использования.

Avp Silver — антивирусный пакет для MS-DOS и Windows 95/98. В состав пакета входят следующие компоненты:

AVP Monitor для Windows 95/98;
AVP Scanner для Windows 95/98;
AVP Scanner для MS-DOS.

AVP Monitor — начиная с даной версии в программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. Таким образом, Вы можете настроить монитор для обеспечения наилучшей безопасности компьютера и предотвращения заражения системы.

AVP Scanner для Windows 95/98 — это Windows-приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

Антивирусный пакет AVP Silver рекомендован “Лабораторией Касперского” для домашнего использования.

AVP Gold — это программный антивирусный пакет для следующих ОС:

MS-DOS;
Windows 95/98;
Windows NT Workstation.

В состав пакета входят следующие компоненты:

AVP Monitor для Windows 95/98/NT Workstation;
AVP Scanner для Windows 95/98/NT Workstation;
AVP Scanner для MS-DOS;
AVP Центр Управления.

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Gold. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть отчет о работе компонентов.

“Лаборатория Касперского” рекомендует использование антивирусного пакета AVP Gold как дома, на домашнем компьютере, так и в небольших офисах.

AVP Platinum — это антивирусный пакет, рассчитанный на многопользовательские лицензии. Он предназначен для работы в следующих ОС:

MS-DOS;
Windows 95/98;
Windows NT Workstation.

В состав пакета входят следующие компоненты:

AVP Monitor для Windows 95/98/NT Workstation;
AVP Scanner для Windows 95/98/NT Workstation;
AVP Scanner для MS-DOS;
AVP Центр Управления.

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Platinum. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть централизованный отчет о работе компонентов. Отличительная особенности данной версии - в ее интеграции с Сетевым Центром Управления, который обеспечивает дистанционное управление антивирусной защитой рабочей станции.

Пакет может поставляться вместе с Сетевым Центром Управления, который позволяет управлять работой программ из пакета AVP Platinum по локальной сети.

Пользователи AVP Platinum обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

“Лаборатория Касперского” рекомендует использовать антивирусный пакет AVP Platinum предприятиям и организациям, имеющим локальные сети.

AVP для Windows NT Server предназначен для защиты файловых серверов, работающих под управлением ОС Windows NT Server. В состав системы входят:

AVP Monitor;
AVP Scanner;
AVP Центр Управления.

AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы (в том числе и сетевые). В программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. При этом основное отличие заключается в контроле за доступом к файлам из любого места локальной сети и Интернета.

AVP для Novell Netware — это антивирусный пакет, обеспечивающий высокий уровень защиты корпоративным сетям, работающим под управлением Novell Netware. Продукт выполнен в виде загрузочного модуля NetWare. Он использует хорошо зарекомендовавшее себя под Windows 32-разрядное ядро AVP. Пакет оснащен возможностью автоматической инсталляции, для чего используется графический инсталлятор для Windows, который сразу производит установку в NDS. Продукт абсолютно не имеет интерфейса, поэтому администрирование проводится через NDS с консоли администратора. Огромным удобством является использование NWAdmin для управления антивирусным пакетом. Поддерживается обновление через Интернет, а также оповещение администратора стандартными средствами NetWare об опасных событиях (например, заражение вирусом) на сервере.

Пользователи AVP для Novell Netware обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

AVP Inspector — это программа-ревизор дисков, разработанная для ОС Windows 95/98/NT Workstation. Она регистрирует изменения в структуре файлов, директорий и секторов дисков, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. Таким образом обеспечивается устойчивая защита от различных вредоносных изменений, а не только тех, которые вызваны вирусной атакой.

Эта программа может использоваться как дополнение к AVP Scanner, так как после проверки дисков на наличие изменений AVP Inspector может передать на проверку программе-сканеру только новые и измененные файлы.

Кроме того, AVP Inspector следит за изменением состояния оперативной памяти и количеством установленных винчестеров.

AVP Web Inspector — это дополнительная утилита для контроля за любыми несанкционированными изменениями на Web-сервере. Эта утилита регистрирует изменения в структуре данных на Web-сервере, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. К особенностям данной утилиты можно отнести:

возможность передачи отчета по электронной почте;
расширенные возможности редактирования области проверки;
специфические возможности для проверки данных на Web-серверах (например, проверка файлов с расширениями.cgi и.asp и т.п.)

Данный продукт рекомендуется компанией как надежный инструмент защиты Web-серверов.

AVP для OS/2 — это антивирусный пакет для операционной системы OS/2 Warp/Merlin. В состав пакета входят следующие компоненты:

AVP Monitor;
AVP Scanner с графическим интерфейсом;
AVP Scanner Lite для запуска из командной строки.

AVP Scanner с графическим интерфейсом — это приложение, предназначенное для проверки файлов по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Scanner Lite для запуска из командной строки по своим функциональным возможностям эквивалентен программе-сканеру с графическим интерфейсом. Отсутствие графического интерфейса делает программу удобной для использования в пакетных файлах.

AVP для Linux — это пакет антивирусных программ для ОС Linux. Пакет включает в себя следующие компоненты:

AVP Scanner — это приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Daemon — это приложение, которое позволяет другим программам управлять процессом проверки на наличие вируса. Будучи загруженным в память, AVP Daemon проверяет объекты в соответствии со своими настройками, а затем остается в памяти. Далее любая клиентская программа может создать с ним соединение, послать Daemon параметры командной строки с целью проверки соответствующих объектов, а далее считать результаты тестирования. AVP Daemon имеет открытый программный интерфейс (API).

AVP Monitor — это приложение, которое постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера. AVP Monitor является программой-клиентом для AVP Daemon. Для установки этого компонента необходимо заменить ряд файлов ядра Linux.

AVP для Microsoft Exchange Server — это средство антивирусной защиты для Microsoft Exchange Server. Эта программа позволяет обнаруживать и удалять вирусы из электронной почты, таким образом обеспечивая эффективную защиту получателей на сервере Microsoft Exchange, работающих под управлением Microsoft Windows NT Server. К особенностям данного продукта можно отнести:

полный контроль над внутренней и внешней почтой;
возможность персональной настройки программы для каждого почтового ящика/группы Exchange;
возможность пересылки зараженных и подозрительных сообщений на адрес администратора;
расширенные функции проверки (например, проверка сообщений, присоединенных файлов, архивов, вложенных архивов, а также файлов почтовых форматов и т.п.);
совместимость с настройками пользовательского интерфейса Microsoft Exchange.

Михаил Калиниченко,
Технический директор
Kaspersky Lab

В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:

принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;
принцип полноты охвата системой антивирусной защиты всей локальной сети организации;
принцип непрерывности контроля локальной сети предприятия, для своевременного обнаружения компьютерной инфекции;
принцип централизованного управления антивирусной защитой;

приобретение, установка и своевременная замена антивирусных пакетов на серверах и рабочих станциях пользователей;
контроль правильности применения антивирусного ПО пользователями;
обнаружение вирусов в локальной сети, их оперативное лечение, удаление зараженных объектов, локализация зараженных участков сети;
своевременное оповещение пользователей об обнаруженных или возможных вирусах, их признаках и характеристиках.

подключение ПК пользователей в корпоративную сеть должно производиться только по заявке с отметкой администратора антивирусной защиты об установке лицензионного антивирусного ПО (заявка заносится в базу данных с фиксацией сроков действия лицензии);
передачу ПК от одного пользователя другому необходимо производить с переоформлением подключения к сети;
обнаруженные вирусы целесообразно исследовать на стенде подразделения защиты информации с целью выработки рекомендаций по их корректному обезвреживанию;
в удаленных структурных подразделениях следует назначить внештатных сотрудников, ответственных за антивирусную защиту.

использование антивирусных пакетов;
архивирование информации;
резервирование информации;
ведение базы данных о вирусах и их характеристиках;

Рассмотрим эти методы более подробно.

система должны быть совместима с операционными системами серверов и ПК;
система антивирусной защиты не должна нарушать логику работы остальных используемых приложений;
наличие полного набора антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;
частота обновления антивирусного ПО и гарантии поставщиков (разработчиков) в отношении его своевременности.

При комплексной защите локальной сети необходимо уделить внимание всем возможным точкам проникновения вирусов в сеть извне.

На рисунке 1 приведена общая структура антивирусной защиты локальной сети. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить, что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.

файл-серверы;
рабочие станции;
рабочие станции мобильных пользователей;
сервера резервного копирования;
почтовые сервера.

Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:

монитор (резидентно размещается в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может: удалить зараженный объект, вылечить его, запретить к нему доступ);
сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);
сетевой центр управления (позволяет организовать управление АВЗ корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т.д.);
дополнительные модули, обеспечивающие проверку электронной почты и Web-страниц в момент получения информации.

Читайте также: