Новости
-> MyLDP -> Тематичний каталог -> Безпека роботи з системою Linux
Борисов В.І., начальник відділу платформного програмного забезпечення компанії IBS
Забулонов М.Ю., експерт по системам антивірусного захисту
Сьогодні начебто нікого не треба переконувати в необхідності побудови антивірусного захисту будь-якої більш-менш відповідальної інформаційної системи. За оцінками західних аналітиків, щорічний загальносвітовий збиток від проникнення вірусів, хробаків, троянських коней та іншої програмної "живності" становить від 8 до 12 млрд доларів. Досить згадати, як у 2001 році весь світ був захоплений вірусом "IloveYou" (збиток - 2 млрд доларів, потім "відзначилася" Nimda (збиток - до 1 млрд доларів) і т.д. І творці вірусів не сидять, склавши руки: по різними оцінками, щодня в світі невідомі умільці створюють від 2 до 10 нових вірусів! в умовах, коли комп'ютерні системи стають основою бізнесу, а бази даних - головним капіталом багатьох компаній, антивірусний захист міцно встає поруч із питаннями загальної економічної безпеки організації. Особливо ця проблема актуальна для банків, по сут і справи є хранителями вельми конфіденційної інформації про клієнтів і бізнес яких побудований на безперервній обробці електронних даних. Крадіжка, знищення, перекручення інформації, збій і відмова комп'ютерних систем - ось ті проблеми, які несуть з собою віруси і вірусоподібні програми.
Проте, за оцінкою авторів, ставлення до антивірусного захисту багато в чому залишається прохолодним і формальним. Зараз навряд чи зустрінеш банк, в інформаційній мережі якого не встановлено будь-яких антивірусні програми. Адміністратор мережі з готовністю відзвітує, що забезпечено захист робочих місць, серверів, електронної пошти і т.д. Але проблема полягає в тому, що незважаючи на наявність антивірусного програмного забезпечення (ПО) загроза вірусних атак як і раніше присутня. Це відбувається з кількох причин:
- Встановлено розрізнене антивірусне ПЗ, немає єдиної системи центрального управління і збору інформації про вірусні атаки
- Відсутня технічна підтримка поставленого ПО, бібліотека сигнатур (образів вірусів) застаріла і антивірусне ПЗ не виявляє нові віруси
- Відсутня програми дій в екстремальних ситуаціях, ліквідація наслідків вірусної атаки відбувається повільно і неякісно, загублені дані відновити
- Відсутня зв'язок з виробником антивірусного ПО при виникненні нових вірусів.
Коротше кажучи, "вік живи - вік учись". У даній статті автори хотів би розглянути в загальному вигляді вимоги і підходи до реалізації системи антивірусного захисту в банківських інформаційних системах, а також описати деякі варіанти вирішення цих проблем. Якщо зміст статті виявиться корисним технічного персоналу банку і змусить зайвий раз замислитися (і про всяк випадок - прийняти попереджувальні заходи) керівний склад - то автори вважають свою працю не даремним:
Служби всіх рівнів об'єднуються в єдину обчислювальну мережу (утворюють єдину інфраструктуру), за допомогою локальної обчислювальної мережі.
Служби загальнокорпоративного рівня повинні функціонувати в безперервному режимі.
Управління всіх рівнів має здійснюватися спеціальним персоналом, для чого повинні бути передбачені кошти централізованого адміністрування.
Антивірусна система повинна надавати такі види сервісів на загальнокорпоративному рівні:
- отримання оновлення програмного забезпечення та антивірусних баз;
- управління поширенням антивірусного програмного забезпечення;
- управління оновленням антивірусних баз;
- контроль за роботою системи в цілому (одержання попереджень про виявлення вірусу, регулярне отримання комплексних звітів про роботу системи в цілому);
- на рівні підрозділів:
- оновлення антивірусних баз кінцевих користувачів;
- оновлення антивірусного програмного забезпечення кінцевих користувачів, управління локальними групами користувачів;
- на рівні кінцевих користувачів:
- автоматична антивірусний захист даних користувача.
- Віддалене управління. Можливість управління всією системою з одного робочого місця (наприклад, з робочої станції адміністратора).
- Ведення журналів. Ведення журналів роботи в зручній настроюється формі.
- Сповіщення. В системі захисту повинна бути можливість відправки повідомлень про події, що відбуваються.
- Продуктивність системи. Необхідно регулювати рівень навантаження від антивірусного захисту
- Захист від різних типів вірусів. Необхідно забезпечити можливість виявлення вірусів виконуваних файлів, макросів документів. Крім цього, повинна бути передбачені механізми виявлення невідомих програмному забезпеченню вірусів.
- Постійний захист робочих станцій. На робочих станціях має працювати програмне забезпечення, що забезпечує перевірку файлів при їх відкритті та записи на диск.
- Автоматичне оновлення антивірусної бази. Повинна бути передбачена можливість автоматичного отримання оновлень антивірусної бази та оновлення антивірусної бази на клієнтах.
Програмно-технічні компоненти системи антивірусного захисту повинні забезпечувати формування інтегрованої обчислювальної середовища, що задовольняє наступним загальним принципам створення автоматизованих систем:
- Надійність - система в цілому повинна мати продовжувати функціонувати незалежно від функціонування окремих вузлів системи і повинна володіти засобами відновлення після відмови.
- Масштабованість - система антивірусного захисту повинна формуватися з урахуванням зростання числа захищених об'єктів.
- Відкритість - система повинна формуватися з урахуванням можливості поповнення та оновлення її функцій та складу, без порушення функціонування обчислювального середовища в цілому.
- Сумісність - підтримка антивірусним програмним забезпеченням максимально-можливої кількості мережевих ресурсів. У структурі і функціональні особливості компонент повинні бути представлені засоби взаємодії з іншими системами.
- Уніфікованість (однорідність) - компоненти повинні представляти собою стандартні, промислові системи і засоби, що мають широку сферу застосування і перевірені багаторазовим використанням.
Крім того, система повинна забезпечувати регулярне оновлення використовуваної антивірусної бази, містити в собі механізми пошуку раніше невідомих вірусів і макро вірусів, як найбільш поширених і небезпечних в даний час.
Вимоги до надійності та функціонування системи
- Система антивірусного захисту не повинна порушувати логіку роботи інших використовуваних додатків.
- Система повинна забезпечувати можливість повернутися до використання попередньої версії антивірусних баз.
- Система повинна функціонувати в режимі функціонування об'єкта (робоча станція / сервер) на якому вона встановлена.
- Система повинна забезпечувати оповіщення адміністратора системи при збоях або виявленні вірусів.
Загальна структура рішення з антивірусного захисту банківської інформаційної системи наведена на малюнку. На першому рівні захищають підключення в Інтернет або мережу постачальника послуг зв'язку - це міжмережевий екран і поштові шлюзи, оскільки за статистикою саме звідти потрапляє близько 80% вірусів. Необхідно відзначити що таким чином буде виявлено не більше 30% вірусів, так як решта 70% будуть виявлені тільки в процесі виконання.
Мал. Загальна структура антивірусного захисту.
Застосування антивірусів для міжмережевих екранів на сьогоднішній день зводиться до здійснення фільтрації доступу в Інтернет при одночасній перевірці на віруси трафіку.
Здійснювана такими продуктами антивірусна перевірка сильно уповільнює роботу і має вкрай невисокий рівень виявлення, з цього в відсутності необхідності фільтрації відвідуваних користувачами веб-вузлів застосування таких продуктів є недоцільним.
2. Як правило, захищають файл-сервера, сервера баз даних і сервера систем колективної роботи, оскільки саме вони містять найбільш важливу інформацію. Антивірус не є заміною засобів резервного копіювання інформації, проте без нього можна зіткнутися з ситуацією, коли резервні копії заражені, а вірус активізується через півроку з моменту зараження.
3. Ну і наостанок захищають робочі станції, ті хоч і не містять важливої інформації, але захист може сильно знизити час аварійного відновлення.
Фактично, антивірусного захисту підлягають всі компоненти банківської інформаційної системи, пов'язані з транспортуванням інформації та / або її зберіганням:
- Файл-сервери;
- Робочі станції;
- Робочі станції мобільних користувачів;
- Сервера резервного копіювання;
- Сервера електронної пошти;
Захист робочих місць (в т.ч. мобільних користувачів) повинна здійснюватися антивірусними засобами і засобами мережевого екранування робочих станцій.
Засоби мережевого екранування покликані в першу чергу забезпечувати захист мобільних користувачів при роботі через Інтернет, а також забезпечувати захист робочих станцій ЛВС компанії від внутрішніх порушників політики безпеки.
Основні особливості мережевих екранів для робочих станцій:
- Контролюють підключення в обидві сторони
- Дозволяють відомим додатків отримати доступ в Інтернет без втручання користувача (autoconfig)
- Майстер конфігурації на кожен додаток (тільки встановлені додатки можуть проявляти мережеву активність)
- Роблять ПК невидимим в Інтернет (ховає порти)
- Запобігають відомі хакерські атаки і троянські коні
- Сповіщають користувача про спроби злому
- Записують інформацію про підключення в лог файл
- Запобігають відправку даних, визначених як конфіденційні від відправки без попереднього повідомлення
- Не дають серверів отримувати інформацію без відома користувача (cookies)
Компанія "Інформаційні бізнес системи" (IBS,) тривалий час займається питаннями створення і вдосконалення корпоративних інформаційних систем, і в тому числі - пропонує послуги з проектування і впровадження систем корпоративного антивірусного захисту на базі наступних продуктів:
AVP ( "Лабораторія Касперського"), який забезпечує антивірусний контроль на платформах DOS, Windows 95/98 / NT / 2000, NetWare, Linux, FreeBSD, BSDi. Також підтримуються Microsoft Exchange, Microsoft Office 2000, Checkpoint Firewall-1, поштові сервіси UNIX - sendmail і qmail. Компанія надає можливість щоденного оновлення пакета через Internet.
Продукти Лабораторії Касперського є хорошим рішенням для невеликих офісів, а також компаній, що широко використовують в своїй роботі продукти Linux і FreeBSD
McAfee Active Virus Defense охоплює всі операційні системи і групові програми, які використовуються в сучасних корпоративних мережах: клієнтські ОС Windows 3.x / 95/98 / ME / NT Workstation / 2000 Professional, OS / 2, DOS, Macintosh; серверні ОС Windows NT Server, Windows 2000 Server / Advanced Server / Datacenter, Novell Netware, FreeBSD, Linux, HP-UX, AIX, SCO, Solaris; групові додатки MS Exchange і Lotus Notes / Domino; інтернет-шлюзи MS Proxy Server; ОС мікрокомп'ютерів (PDA) Windows CE, Palm OS, Pocket PC, EPOC (Psion).
Є хорошим рішенням на рівні поштових шлюзів а також для платформи HP-UX. Доцільно застосовувати при кількості робочих місць більше 500.
Symantec Antivirus (Symantec Corp.) - набір антивірусних продуктів компанії Symantec, пропонований корпоративним користувачам. Об'єднує всі антивірусні продукти Symantec - для серверів Windows NT і Novell, робочих станцій, комунікаційних пакетів Lortus Notes і MS Exchange, SMTP поштових серверів і брандмауеров, а також включає керуючу консоль Symantec System Center.
Застосування продуктів Symantec доцільно при загальній кількості робочих місць не менше 100 і наявності хоча б одного сервера Windows NT / 2000 / NetWare. Відмінними рисами даного пакета є:
- Ієрархічна модель управління
- Наявність механізму реакції на виникнення нових вірусів
Найважливішою особливістю рішень ІХС є те, що компанія надає підтримку всього спектру і вже наявного у Замовника антивірусного програмного забезпечення. Залежно від потреб замовника може бути надана:
- Базова технічна підтримка (консультації по телефону, доступ до бази даних оновлень - все в робочий час)
- Технічна підтримка Платинум (технічна підтримка в робочі та вихідні дні, допомога при відновленні від вірусних атак, примусова розсилка оновлень, доступ до баз даних виробників)
На глибоке переконання авторів, антивірусний захист інформаційних систем - найважливіша і постійна функція загальної системи економічної безпеки банку. У цій справі неприпустимі тимчасові послаблення і відступу від стандартів. Незалежно від вже існуючих в банку рішень з антивірусного захисту завжди корисно провести додатковий аудит і оцінити систему очима незалежного і компетентного експерта. Не забувайте звертатися за порадами до експертів - їх допомога в цих питаннях ніколи не буде зайвою!
З питань співпраці в області антивірусного захисту звертайтеся до Володимира Водянову, до відділу по роботі з комерційними банками, страховими та інвестиційними компаніями. т. 967-80-80, e-mail: [email protected]