Компьютер в бухгалтерском учете и аудите 1999'3

Home Поиск Издания Контакты k-press.ru


Продолжается подписка на наши издания! Вы не забыли подписаться?

Kaspersky Lab

Защита корпоративной сети от вирусов
с использованием семейства продуктов AVP

Введение

Данная статья посвящена безопасности крупной и средней компьютерной сети. Необходимо отметить, что с расширением роли информационных технологий в деятельности компаний говорить только о врусной атаке становится не вполне корректно, так как увеличивается число программ, которые не являясь вирусами, тем не менее способны принести не меньший вред. В первую очередь это относится к программам, ворующим пароли и позволящим осуществлять котроль за работой компьютеров незаметно для сотрудников вашей компании.

Рассмотрим стандартные составляющие корпоративной сети (рисунок 1).

 

Рис.1

Для начала рассмотрим основные принципы безопасности, которые позволяют многократно уменьшить вероятность попадания вируса в сеть.

  1. Должно быть четкое разграничение задач и доступа различных пользователей (групп пользователей) в сети. Так, лучше иметь выделенную директорию для обмена данными между всеми пользователями сети или использовать для этого внутренний почтовый сервер компании.
  2. Наличие в сети антивирусной программы.
  3. Регулярное (не реже 1 раза в неделю, а общей директории — ежедневно) тестирование всего сервера на наличие вирусов всех типов с максимально возможными настройками.
  4. Компьютер (компьютеры), связанные с внешним миром через модемы или выделенные каналы должны проверяться особенно тщательно и до того, как файлы, скачанные из Интернет, попадут в локальную сеть. При этом крайне желательна установка специального программного обеспечения, проверяющего внешний сетевой трафик как на наличие вирусов, так и на предмет попыток несанкционированного проникновения.

Как видно из перечисленного списка, покупка и установка антивирусного программного обеспечения является одним из ряда требований по обеспечению безопасности сети.

Что защищать и чем защищать

Анализируя критические для проникновения вирусов составляющие компьютерных сетей предприятий и тенденции развития антивирусного программного обеспечения, можно выделить следующие элементы, которые требуют антивирусной защиты:

Необходимо отметить, что только подобная многослойная структура построения антивирусной защиты способна обеспечить максимальную защиту от вирусной угрозы. При этом вирус лишается возможности найти в сети нишу, в которой его существованию ничто не угрожает.

Анализируя современную динамику развития программ для проникновения в компьютерные сети компаний следует иметь в виду, что традиционные вирусы, которые способны заполнить диски или стереть информацию, являются лишь одной из разновидностей данного класса программ. Более того, широкое распространение информационных технологий, которые стали необходимым условием успешного развития компаний в любых областях, привело к тому, что практически вся информация хранится в электронном виде. Следствием этого стало широкое распространение так называемых вредоносных кодов. Данная категория программного обеспечения не является вирусом в традиционном понимании этого термина. Основной целью в данном случае является сбор информации (в первую очередь, паролей доступа) или даже полный контроль над работой компьютера, с последующей пересылкой данной информации заинтересованному лицу за пределами компании. При этом вред, наносимый компании, может во много раз превышать потери от традиционной вирусной атаки, которые могут быть к тому же сведены к минимуму при помощи грамотной системы резервного копирования информации.

С другой стороны, в настоящее время наблюдаются значительные изменения в традиционных вирусах. Прежде всего это связано с внедрением большого числа новых технологий компонентного построения систем, которые создают новые среды для распространия вирусов. При этом огромное количество файлов, из которых состоят современные программные продукты, привело к тому, что размеры перестали быть ограничивающим фактором в распространении вирусов и вредоносных кодов. Более того, многие из них даже не стремятся к полному внедрению в файлы, а просто копируют себя в системные директории. Действительно, определить наличие лишнего файла в этом случае оказывается практически невозможно.

Прежде чем переходить к описанию конкретных программных продуктов, предназначенных для защиты компьютеров и сетей от вирусов, хотелось бы отметить, что данную проблему нельзя рассматривать в отрыве от общей стратегии информационной безопасности компании. Здесь весьма уместно провести аналогии с традиционной медициной. Действительно, антивирусное программное обеспечение является лекарством, однако самый лучший способ быть здоровым — это избежать заражения. С этой точки зрения крайне важным является построение комплексной системы, которая бы позволила бы минимизировать возможные пути проникновения вирусов во внутреннюю сеть компании. Это тем более важно, что любое антивирусное программное обеспечение обеспечивает 100 % лечение только уже известных вирусов. В то время как новые модификации и, особенно, новые типы вирусов с очень большой вероятностью остаются незамеченными. Частично данная проблема решается при помощи программ для контроля за целосностью данных (типа AVP Inspector), однако они, как правило, лишь констатируют факт несанкционарованного изменения файлов, а лечение возможно лишь после появления новых версий антивирусов.

В настоящее время “Лаборатория Касперского” выпускает серию продуктов под общим названием AVP для защиты корпоративной сети и различных ее составляющих. Данные продукты можно разделить на 4 группы:

Прежде всего отметим, что практически все продукты (за исключением 16-битных) построены на основе единого ядра.

AVP для рабочих станций и автономных компьютеров

В данную категорию продуктов входят следующие основные продукты: AVP для Windows, AVP для OS/2, AVP для DOS (16-ти и 32-битные версии), AVP для Linux. При этом 16-битная версия для DOS в настоящий момент заменяется на 32-битную. При этом все версии (кроме 16-битных) имеют единое унифицированное ядро.

АVP для файловых серверов

В настоящее время данная категория продуктов представлена версиями AVP для Novell Netware 3, 4, 5; AVP для NT Server; AVP Daemon для Linux.

AVP для серверов приложений

AVP для Exchange, WEB Inspector. К данной категории можно отнести также AVP для Linux, который имеет открытое API для интеграции с прикладными приложениями различного типа.

Модули и продукты для сетевого администрирования и управления семейством продуктов AVP

В настоящий момент данная категория продуктов представлена Сетевым Центром Управления, который позволяет централизовать управление продуктами AVP в сетях, построенных на продуктах компании Microsoft и протоколе ТСР/IP. В других сетевых средах предлагается интеграция с системы сетевого управления таких компаний, как Microsoft, Novell, Tivoli, HP, CA и других компаний, работающих на данном рынке.

Обзор основных функций продуктов семейства AVP

Avp Lite — это простой антивирусный пакет для MS-DOS и Windows 95/98. Он состоит из двух компонентов:

AVP Monitor — это программа, которая во время работы компьютера постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера и предотвращение заражения системы.

AVP Scanner для MS-DOS — это 32-битное DOS-приложение с графическим интерфейсом для сканирования файлов по запросу пользователя. К AVP Scanner приложен файл со стандартными настройками, что существенно облегчает использование продукта. Данная программа рекомендована для использования в тех ситуациях, когда невозможна загрузка компьютера. Запишите AVP Scanner на системную дискету, а антивирусные базы на другую дискету, тогда в случае вирусной атаки загрузите компьютер с системной дискеты и запустите программу-сканер.

Антивирусный пакет AVP Lite рекомендован “Лабораторией Касперского” начинающим пользователям для домашнего использования.

Avp Silver — антивирусный пакет для MS-DOS и Windows 95/98. В состав пакета входят следующие компоненты:

AVP Monitor — начиная с даной версии в программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. Таким образом, Вы можете настроить монитор для обеспечения наилучшей безопасности компьютера и предотвращения заражения системы.

AVP Scanner для Windows 95/98 — это Windows-приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

Антивирусный пакет AVP Silver рекомендован “Лабораторией Касперского” для домашнего использования.

AVP Gold — это программный антивирусный пакет для следующих ОС:

В состав пакета входят следующие компоненты:

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Gold. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть отчет о работе компонентов.

“Лаборатория Касперского” рекомендует использование антивирусного пакета AVP Gold как дома, на домашнем компьютере, так и в небольших офисах.

AVP Platinum — это антивирусный пакет, рассчитанный на многопользовательские лицензии. Он предназначен для работы в следующих ОС:

В состав пакета входят следующие компоненты:

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Platinum. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть централизованный отчет о работе компонентов. Отличительная особенности данной версии - в ее интеграции с Сетевым Центром Управления, который обеспечивает дистанционное управление антивирусной защитой рабочей станции.

Пакет может поставляться вместе с Сетевым Центром Управления, который позволяет управлять работой программ из пакета AVP Platinum по локальной сети.

Пользователи AVP Platinum обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

“Лаборатория Касперского” рекомендует использовать антивирусный пакет AVP Platinum предприятиям и организациям, имеющим локальные сети.

AVP для Windows NT Server предназначен для защиты файловых серверов, работающих под управлением ОС Windows NT Server. В состав системы входят:

AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы (в том числе и сетевые). В программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. При этом основное отличие заключается в контроле за доступом к файлам из любого места локальной сети и Интернета.

AVP для Novell Netware — это антивирусный пакет, обеспечивающий высокий уровень защиты корпоративным сетям, работающим под управлением Novell Netware. Продукт выполнен в виде загрузочного модуля NetWare. Он использует хорошо зарекомендовавшее себя под Windows 32-разрядное ядро AVP. Пакет оснащен возможностью автоматической инсталляции, для чего используется графический инсталлятор для Windows, который сразу производит установку в NDS. Продукт абсолютно не имеет интерфейса, поэтому администрирование проводится через NDS с консоли администратора. Огромным удобством является использование NWAdmin для управления антивирусным пакетом. Поддерживается обновление через Интернет, а также оповещение администратора стандартными средствами NetWare об опасных событиях (например, заражение вирусом) на сервере.

Пользователи AVP для Novell Netware обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

AVP Inspector — это программа-ревизор дисков, разработанная для ОС Windows 95/98/NT Workstation. Она регистрирует изменения в структуре файлов, директорий и секторов дисков, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. Таким образом обеспечивается устойчивая защита от различных вредоносных изменений, а не только тех, которые вызваны вирусной атакой.

Эта программа может использоваться как дополнение к AVP Scanner, так как после проверки дисков на наличие изменений AVP Inspector может передать на проверку программе-сканеру только новые и измененные файлы.

Кроме того, AVP Inspector следит за изменением состояния оперативной памяти и количеством установленных винчестеров.

AVP Web Inspector — это дополнительная утилита для контроля за любыми несанкционированными изменениями на Web-сервере. Эта утилита регистрирует изменения в структуре данных на Web-сервере, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. К особенностям данной утилиты можно отнести:

Данный продукт рекомендуется компанией как надежный инструмент защиты Web-серверов.

AVP для OS/2 — это антивирусный пакет для операционной системы OS/2 Warp/Merlin. В состав пакета входят следующие компоненты:

AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы. В программе предусмотрена возможность настройки типов проверяемых объектов и реакции на зараженные файлы.

AVP Scanner с графическим интерфейсом — это приложение, предназначенное для проверки файлов по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Scanner Lite для запуска из командной строки по своим функциональным возможностям эквивалентен программе-сканеру с графическим интерфейсом. Отсутствие графического интерфейса делает программу удобной для использования в пакетных файлах.

AVP для Linux — это пакет антивирусных программ для ОС Linux. Пакет включает в себя следующие компоненты:

AVP Scanner — это приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Daemon — это приложение, которое позволяет другим программам управлять процессом проверки на наличие вируса. Будучи загруженным в память, AVP Daemon проверяет объекты в соответствии со своими настройками, а затем остается в памяти. Далее любая клиентская программа может создать с ним соединение, послать Daemon параметры командной строки с целью проверки соответствующих объектов, а далее считать результаты тестирования. AVP Daemon имеет открытый программный интерфейс (API).

AVP Monitor — это приложение, которое постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера. AVP Monitor является программой-клиентом для AVP Daemon. Для установки этого компонента необходимо заменить ряд файлов ядра Linux.

AVP для Microsoft Exchange Server — это средство антивирусной защиты для Microsoft Exchange Server. Эта программа позволяет обнаруживать и удалять вирусы из электронной почты, таким образом обеспечивая эффективную защиту получателей на сервере Microsoft Exchange, работающих под управлением Microsoft Windows NT Server. К особенностям данного продукта можно отнести:

Михаил Калиниченко,
Технический директор
Kaspersky Lab

Copyright © 1994-2016 ООО "К-Пресс"