Алексей Соболев, Сергей Курьянов. Типовые решения антивирусной защиты сетей

30.11.2005

Типовые решения – единственный выход

Вирусные угрозы по большинству экспертных оценок являются источником наибольшей опасности для информационных систем. В среднем, и особенно малом бизнесе система антивирусной защиты является ядром информационной безопасности во всех смыслах – от количества инсталляций и трудоемкости управления до доли ИТ-бюджета.

Задача оптимизации антивирусной защиты, правильного проектирования ее конфигурации также, на наш взгляд, является одной из центральных в проектировании комплекса информационной безопасности предприятия.

Практически всегда антивирусная защита инсталлируется вместе с сетью предприятия при ее создании, поэтому на большинстве предприятий конфигурация системы определяется по большей части ее историей. Этим, а также кажущейся простотой задачи («всего-то делов, установить антивирусы на каждой машине») объясняется недооценка сложности и важности задачи многими ИТ-менеджерами.

Существует две группы факторов, делающих задачу проектирования системы антивирусной защиты все более сложной. Первая группа – факторы организационного плана:

1) Уже упомянутое положение, когда система антивирусной защиты каждого предприятия уникальна, являясь историческим результатом «естественного роста».

2) Постоянное усложнение вычислительных систем и сетей предприятий. Усложнение происходит как вширь (количество узлов и связность топологии сетей, точки присоединения внешних сетей и пользователей), так и вглубь (разнообразие ресурсов и сервисов, образующих информационную систему предприятия и являющихся потенциальными мишенями вирусных атак).

3) Соответственное развитие и усложнение ассортиментных рядов антивирусных продуктов. Практически все ведущие мировые и российские антивирусные компании сейчас поставляют средства не только антивирусной защиты, но и защиты от других видов угроз – несанкционированного доступа в сети хакеров, утечек конфиденциальной информации и других.

4) Разнообразие лицензионных схем антивирусных вендоров, затрудняющим сопоставимые бюджетные оценки.

Другая группа факторов – техническая:

5) При значительном количестве рабочих станций в сети задача установки клиентских антивирусов на все рабочие станции, а также управления ими, не может быть эффективно решена без использования средств безопасного централизованного управления. Наличие и функциональность таких средств надо учитывать при выборе вендора антивирусного ПО.

6) На многих предприятиях можно встретить несколько системных и прикладных платформ: Windows и Unix, Exchange и Lotus Domino. Кроме этого внедрение антивирусного ПО может потребовать внесения существенных изменений в архитектуру корпоративной сети. Все это может привести к необходимости вовлечения разных специалистов как на этапе проектирования, так и на этапе внедрения.

7) Наиболее сложно предусмотреть необходимость тех или иных тонких настроек в антивирусном ПО, возможные его конфликты с прикладными программами. Чтобы успешно справляться с этими задачами необходимо иметь значительный опыт внедрения и эксплуатации антивирусного ПО на разных предприятиях. К примеру, мало кто из системных администраторов может похвастаться большим опытом внедрения антивирусов на предприятиях, т.к. эта задача часто является «одноразовой».

8) Растущая взаимосвязь антивирусного ПО, операционных систем и приложений, делающая недостаточным обновление только антивирусных баз для поддержания надежности защиты. Все чаще встречаются ситуации, когда для ликвидации вирусной угрозы необходимо не только обновить антивирус, но и установить соответствующий патч в операционную систему, броузер, web-сервер, и т.п.

Крупные предприятия от сложившегося положения практически не страдают – их антивирусные системы являются индивидуальным решением во всех случаях, индивидуально проектируются, зачастую с участием антивирусного вендора, с разработкой уникальных утилит и скриптов для управления системой.

Ситуация средних и небольших предприятий гораздо тяжелее. Средств и необходимой квалификации для серьезного проектирования антивирусной системы они не имеют, продолжая двигаться дорогой «естественного роста», в результате чего их антивирусные системы дорожают, а надежность их падает, т.к. остаются незакрытыми некоторые вновь проявившиеся точки проникновения вирусов.

Единственным выходом в этой ситуации является создание и использование типовых решений. Такие типовые решения в виде «конструкторов» и конфигураторов имеются у некоторых вендоров, но не могут быть практически использованы, поскольку являются слишком обобщенными, не учитывая даже минимально специфики объекта защиты.

Требования к типовому решению, принципы создания

Для определения требований к типовому решению рассмотрим процесс индивидуального проектирования системы антивирусной защиты по шагам.

1) Инвентаризация сети предприятия (узлы, топологии, сервисы, точки подключения внешних сетей и пользователей, используемые операционные системы и приложения, имеющиеся средства антивирусной защиты)

2) Анализ бизнес-процессов предприятия с целью ранжирования ценности отдельных ресурсов сети и управления рисками при вирусных атаках

3) Анализ системы управления ИТ предприятия для определения требований к управляющему ПО антивирусной системы

4) Проектирование спецификаций системы для нескольких конкурирующих вендоров

5) Выбор вендора и уточнение спецификаций (включая расширение видов угроз при наличии у избранного вендора смежных продуктов) В некоторых продуктовых линейках встречаются продукты, защищающие не только от вирусов, но и от других вредоносных кодов, и даже от других видов угроз. Например, некоторые антивирусы серверов электронной почты попутно могут фильтровать спам и утечки конфиденциальной информации. Если вендор такого продукта выбран базовым, имеет смысл использовать такие свойства.

6) Проектирование управленческих документов (регламентов обновлений, установки обновлений, обучения пользователей и т.п.)

По сути дела хорошее типовое решение должно быть базой для последовательного решения всех перечисленных задач.

Результатом первых трех этапов проектирования по существу является модель объекта защиты – вычислительной сети предприятия. Основное назначение модели – дать исходные данные для четвертого этапа – проектирования спецификаций.

Это определяет требования к составу объектов модели и уровню ее детализации. Состав объектов (узлов, ресурсов, сервисов, приложений) должен быть полным, т.е. включать все объекты, могущие быть целью вирусной атаки. Детальность списка объектов определяется на самом деле имеющимися антивирусными технологиями, поскольку при проектировании спецификаций антивирусной системы соответствие должно быть однозначным На практике это означает, что если в продуктовой линии вендора есть отдельный антивирус к Microsoft Outlook, то в модели по крайней мере должно быть указано количество клиентов Outlook в сети предприятия. Если есть общий антивирус для рабочей станции, включающий защиту офисных приложений Microsoft и операционной системы, в такой детализации нет необходимости. При решении задачи выбора вендора надо учитывать состав продуктовых линеек всех принимающихся в рассмотрение вендоров.

По сути дела типовая модель сети предприятия используется как основа для проектирования системы защиты дифференциальным методом – для составления конкретной спецификации решения и бюджетных оценок необходимо просто перечислить отличия конкретной сети от типовой модели и сделать по этим отличиям корректировки типовой спецификации решения. Конечно, такой «дифференциальный подход» имеет свои рамки – сеть пользователя не должна качественно отличаться от типовой модели. Именно качественные отличия конкретного объекта защиты от любой типовой модели и делают неизбежным индивидуальное проектирование системы антивирусной защиты для групных предприятий.

Поэтому типовая модель сети предприятия является результатом обобщения опыта поставщика антивирусных решений и основой для составления их спецификаций.

При индивидуальном проектировании системы антивирусной защиты довольно часто используются антивирусные продукты нескольких вендоров. Это обуславливается «историей развития», стремлением снизить стоимость за счет отказа от переобучения ИТ-персонала и пользователей, учетом индивидуальных особенностей объекта защиты и стратегией диверсификации вендоров («не класть все яйца в одну корзину). В ряде случаев, особенно в больших сетях, имеющих резервные ресурсы, такая стратегия позволяет несколько повысить общую надежность системы.

Однако при проектировании типового решения правильным является гомогенный подход, поскольку типовая модель по определению не включает никаких конкретных особенностей. Кроме того, в любой сети продукты какого-то одного вендора всегда образуют базу антивирусной защиты, а другие служат для усиления и решения специальных задач защиты. Базовый вендор выбирается как правило по соображениям минимальной цены при приемлемой надежности и управляемости.

Поскольку соображения бюджета не являются единственным критерием, определяющим выбор, системному интегратору – поставщику антивирусных решений необходимо иметь для каждой типовой модели соответствующую спецификацию для каждого из основных антивирусных вендоров.

Например, при двух типовых моделях и трех базовых вендорах это дает 6 спецификаций типового решения по антивирусной защите.

Модели сетей среднего и малого предприятий

В результате обобщения нашего опыта создания, реорганизации и поддержки систем антивирусной защиты на сотнях предприятий мы определяем два класса сетей предприятий разного масштаба:

- малое предприятие

- среднее предприятие

Разумеется, эти названия условны, они отражают сложность сети и развитость информационных технологий, а не численность персонала, обороты и рентабельность предприятия. При выборе адекватной конкретному клиенту модели необходимо ориентироваться не столько на параметры масштаба (количество рабочих станций и серверов) сколько на наличие/отсутствие имеющихся на предприятии ресурсов и сервисов в составе модели.

Малое предприятие

- Количество рабочих станций: <= 50

- ОС рабочих станций: Windows 98/2000/XP

- Количество серверов: 1

- Роли серверов: все задачи на одном сервере

- ОС серверов: Windows 2000 Server

- Электронная почта: POP3 ящики у провайдера или локальные ящики на shareware-программе

- Интернет-соединение: dial-up с нескольких рабочих станций или с сервера

- Межсетевой экран: нет или shareware

- Внешние пользователи: нет

- Мобильные пользователи: 1-2 руководителя с ноутбуками без возможности мобильного подключения к корпоративной сети, но с доступом к Интернет.

Среднее предприятие

- Количество рабочих станций: <= 300

- ОС рабочих станций: Windows 98/2000/XP

- Количество серверов: 3-4

- Роли серверов:

прокси + почта

файл-сервер

сервер приложений

- ОС серверов: Windows 2000/2003

- Электронная почта: Microsoft Exchange Server (вариант - Sendmail на Linux)

- Интернет-соединение: выделенная линия

- Межсетевой экран: Microsoft ISA Server или shareware

- Внешние пользователи:

заказчики через веб

филиалы через VPN

- Мобильные пользователи:

подключение через RAS-сервер Win 2000

подключение через VPN