Защита серверов и рабочих станций

Требование к антивирусам для серверов

Приведенные рассуждения и примеры позволяют сформулировать требования к антивирусам для серверов. Здесь различия в назначении не так разительны, как в случае рабочих станций и поэтому можно не делить требования в соответствии с классами серверов, а отмечать различия в соответствующих пунктах:

1. Общие требования - как и прежде, дешевизна, но больший упор на надежность, совместимость и производительность, тогда как к удобству в использовании играет менее важную роль
2. Основные требования
   • Контроль в режиме реального времени файлов, расположенных в общих ресурсах - проверка при обращении к этим файлам
   • Проверка в режиме реального времени всей файловой системы (обязательно - Microsoft Windows, желательно - Novell Netware, Unix/Linux)
   • Проверка любых объектов файловой системы по требованию
   • Обнаружение вирусов в составных файлах - архивах, файлах почтовых форматов и т. п.
   • Возможность выбора различных действий при обнаружении вируса, штатно:
     • блокирование доступа к файлу
     • запись в журнал
     • удаление
     • переименование или помещение на карантин
     • лечение
     • желательно - блокирование доступа с рабочей станции
   • Лечение зараженных файлов
   • Желательно - лечение файлов в архивах
3. Требования к управлению
   • Возможность удаленного управления
   • Крайне желательно - поддержка единой системы удаленного и централизованного управления (в большей степени для серверов Microsoft Windows)
   • Возможность планирования запуска задач и выполнения действий
   • Возможность гибко исключать из проверки файлы, области, процессы
4. Требования к обновлению
   • Быстрая реакция производителя на появление новых вредоносных программ - высокая частота выпуска обновлений
   • Поддержка различных источников обновления - HTTP- или FTP-ресурс, локальная или сетевая папка, желательно - централизованная система обновления
   • Возможность выполнения обновления вручную по запросу или автоматически по расписанию
   • Возможность выполнить откат обновлений антивирусных баз
5. Требования к диагностике
   • Ведение журналов работы
   • Уведомление администратора обо всех важных событиях (с возможностью выбора типов событий, желательно - с именем пользователя, пытающегося разместить на сервере инфицированный файл и адресом его компьютера)
   • Уведомление пользователей о попытках доступа к зараженных файлам
   • Отображение статистики и счетчиков производительности в режиме реального времени
6. Требования к производительности
   • Желательно - поддержка многопроцессорности

Система администрирования

Как уже говорилось, в больших сетях система управления является тем необходимым инструментом, который позволяет контролировать состояние системы защиты серверов и рабочих станций в целом. В штатном режиме такой подход позволяет существенно снизить затраты на обслуживание, в условиях эпидемии - позволяет оперативно корректировать настройки и удаленно командовать работой антивирусов на узлах.

Цели и задачи

Каждым антивирусным средством можно управлять непосредственно: либо локально, либо, как в случае с продуктами под Novell Netware, Linux, Unix - удаленно при частичной помощи штатных средств этих операционных систем. Любые задачи по настройке и выполнению определенных операций могут быть решены таким образом.

Однако в случае, когда похожие настройки необходимо сделать не на двух, трех, пяти или даже десяти узлах, применять независимые средства управления для каждого из узлов становится крайне неэффективно. Если же еще учесть, что большую часть узлов сети составляют компьютеры под управлением ОС Windows, и что ОС этого семейства не обладают развитыми средствами удаленного управления, позволяющими изменять настройки программ, не мешая работе пользователей, то к необходимости независимой настройки прибавляется необходимость непосредственного присутствия администратора антивирусной безопасности для выполнения этих действий. В конечном итоге, управление сколько-нибудь большим числом защищенных узлов становится задачей крайне трудоемкой и малоэффективной.

Кроме того, если в сети случается инцидент, связанный с антивирусной безопасностью, штатные средства управления антивирусным средством либо оповещают об этом локального пользователя либо просто записывают информацию в отчет. В такой ситуации между моментом, когда произошел инцидент, и моментом, когда об этом стало известно администратору, может пройти значительное время - несколько часов или даже дней. В ситуации повышенной вероятности возникновения эпидемии такие задержки недопустимы.

При возникновении внештатной ситуации как никогда важной становится возможность оперативно получать информацию о состоянии защиты на всех защищаемых узлах и своевременно вносить коррективы в настройки, а также при необходимости обновлять антивирусные базы и проводить внеплановую проверку компьютеров. Если для выполнения этих действий администратору потребуется произвести полный обход территории сети, он полностью потеряет контроль за происходящим.

Таким образом, вырисовывается необходимость в дополнительном инструменте, который позволил бы решать следующие задачи:

• Удаленно изменять любые настройки любого узла, защищенного антивирусом
• Удаленно выполнять любые действия связанные с антивирусной защитой: проверку по требованию, обновление, откат обновления
• Изменять настройки и выполнять задачи по отношению к группам узлов как к одному узлу
• Получать информацию о состоянии антивирусной защиты любого узла в любой момент
• Оперативно получать информацию обо всех инцидентах, связанных с антивирусной защитой

Фактически, необходим инструмент, который позволял бы удаленно и централизовано решать задачи управления, обновления и диагностики системы антивирусной защиты. Такой инструмент принято называть системой управления или системой администрирования. Помимо упомянутых задач система администрирования обычно включает также функции, связанные с разворачиванием системы антивирусной защиты в сети - функции удаленной установки и деинсталляции антивирусных средств.

Структура системы администрирования

Легко видеть, что задачи, решаемые системой администрирования, достаточно разнородны и не обязательно связаны между собой. По этой причине и система администрирования может быть легко представлена в виде совокупности нескольких подсистем, соответствующих задачам:

• Подсистема управления - предназначена для удаленной настройки отдельных узлов или групп узлов, равно как и для удаленного выполнения задач на отдельных узлах и их группах
• Подсистема обновления - предназначена для минимизации нагрузки на сеть при выполнении обновления большого количества узлов, а также минимизации задержек при распространении обновлений
• Подсистема диагностики - предназначена для передачи информации о событиях, связанных с антивирусной защитой, и для предоставления информации о статусе этой защиты
• Подсистема внедрения - предназначена для выполнения удаленной установки и удаления антивирусного ПО

На практике эти подсистемы могут и не составлять единый продукт. Практически любая из подсистем может представлять собой отдельное решение.