Оружие массовой защиты

Оружие массовой защиты

Ю.В. Войнов, эксперт
Центра компьютерной безопасности

Антивирусы сегодня относятся к числу наиболее востребованных продуктов на рынке средств защиты информации. Это не удивительно — достаточно вспомнить об ущербе, причиненном вирусами за последние годы.

Варианты решений по защите

Существует несколько сценариев организации антивирусной защиты. Представители малого бизнеса закупают, как правило, индивидуальные, клиентские решения. В этом случае головной болью системного администратора (если он вообще предусмотрен штатным расписанием) является установка программного обеспечения на каждый компьютер, а затем — постоянное обновление антивирусных баз, да и самих продуктов (опять же для каждого компьютера). Кроме того, никогда нельзя быть уверенным в том, что пользователь не отключит свой антивирус — потому, например, что свежекупленная игрушка из-за него «не идет».

С увеличением числа компьютеров фирме стоит подумать о каком-то ином варианте борьбы с вирусами. На Западе достаточно популярен сервис, при котором ваши «вирусные» проблемы берет на себя специализирующаяся на этом компания (за определенную плату, разумеется). При этом на клиентский компьютер ставится небольшое приложение-агент, а сам антивирус работает на стороне сервера данной услуги. Правда, существует одно «но» — ваш компьютер или сеть должны быть подключены к Интернету. Это иногда нежелательно.

А что, если «поднять» антивирусный сервер самому? Тогда приходим к решению, которое наиболее распространено в больших и средних компаниях, — сетевые антивирусы (их еще иногда называют серверными, корпоративными). Именно этим продуктам и посвящен данный материал.

Преимущества серверных решений

Преимущество серверных антивирусов прежде всего состоит в централизованном управлении политикой безопасности. Как правило, для каждого компьютера сети предусмотрена возможность «тонкой» настройки.

Различаются два основных типа сетевых антивирусов: антивирусы-шлюзы и антивирусы, интегрированные с почтовыми серверами. Первые осуществляют сканирование всего проходящего через них внешнего трафика и обезвреживают вирусы по мере их поступления. Эти продукты способны сканировать данные при их передаче по протоколам HTTP, FTP. Встречаются также антивирусы, работающие на нижнем уровне — сканирующие IP-пакеты.

Как известно, значительное количество вирусов поступает с электронной почтой. Поэтому обязательно должны применяться антивирусы, интегрированные с почтовыми серверами. Антивирусы-шлюзы здесь не всегда в состоянии помочь. Например, в ЛВС может быть два почтовых сервера, тогда почта, пересылаемая от одного сервера к другому, окажется незаметной для шлюзового продукта. Важной функцией антивирусов, работающих с почтой, является возможность проверки хранилищ данных, например Exchange. Такая проверка осуществляется как по требованию, так и по расписанию. У многих продуктов имеется опция отсылки сообщения о заражении вирусом отправителю или получателю письма, а также возможность фильтрации по теме, по вложенному файлу или телу письма.

Как выбрать антивирус?

На современном IT-рынке представлено множество разработок. Как выбрать нужное именно вам? Универсального ответа, конечно, не существует, но имеет смысл обратить внимание на ряд моментов.

По своему прямому назначению — борьбе с вирусами — сетевые продукты довольно похожи. Как правило, все они успешно справляются со своими обязанностями. Основные различия заключаются в особенностях системы централизованного управления, степени гибкости и удобства ее настройки, частоте обновления антивирусных баз данных и самого продукта. Также покупателю нужно определиться: требуется ли ему антивирус-шлюз или антивирус, интегрированный с почтовым сервером. Во избежание дополнительных расходов необходимо внимательно изучить схему лицензирования продукта. Обязательно проанализировать, не возникнет ли у антивируса проблем с уже имеющимся программным обеспечением, и прежде всего с межсетевым экраном. Если антивирус-шлюз и антивирус для работы с почтовым сервером покупаются отдельно, то и здесь возможны конфликты ПО.

Наибольшие сложности возникают в случае наличия гетерогенной сети, когда на рабочих станциях установлены не только Windows, но и Linux, Solaris. Далеко не все сетевые антивирусы имеют в своем составе клиенты для различных операционных систем. На это также важно обратить внимание.

На наш взгляд, наиболее правильной является закупка средств защиты — межсетевого экрана, антивируса — у одного производителя. По крайней мере, в этом случае можно рассчитывать на совместимость продуктов.