Программные средства
Как видно из определения, КСАЗ должна контролировать и осуществлять проверку всех информационных потоков, циркулирующих в локальной сети и представляющих угрозу как потенциальный канал для распространения вирусов.
Следовательно, перед проектированием КСАЗ необходимо произвести анализ сети и циркулирующих в ней информационных потоков, определить защищаемые узлы и узлы, на которые будут установлены антивирусные комплексы.
Каждая сеть устроена по-своему и содержит особенности, однако мы можем говорить здесь о типовой локальной сети, типовых узлах и информационных потоках, которые между этими узлами циркулируют. При проектировании реальных систем к описанным далее компонентам будут добавлены новые, некоторые классы защищаемых узлов будут разделены на подклассы.
Итак, типовая локальная сеть содержит следующие типы узлов:
- Рабочие станции
- Файловые сервера
- Почтовые сервера
- Шлюзы
Рис. 4.1. Типовая локальная сеть
Файловые сервера следует понимать в описанном ранее широком смысле.
Рабочая станция принимает участие в следующих информационных потоках: пользователь имеет интерактивный доступ к ресурсам Интернет (http/ftp протоколы), работает с электронной почтой (smtp/pop/imap протоколы либо протокол передачи данных системы групповой работы), взаимодействует с файловыми серверами (как с файловыми хранилищами, так и с серверами баз данных), а также с другими станциями сети. Поток между станциями в штатном режиме работы сети не должен быть существенным, поскольку вся информация должна храниться на серверах, однако этот поток нельзя исключать по причине его важности для антивирусной защиты. Помимо перечисленных, рабочая станция содержит различные дисководы и возможно подключение к ней сменных носителей - дискет, компакт-дисков, flash-накопителей.
Файловый сервер в общем случае взаимодействует только с другими файловыми серверами и рабочими станциями. Достаточно редко, но также обязательно используются сменные носители.
Почтовый сервер принимает и отсылает напрямую либо через шлюз корреспонденцию (smtp-протокол), а также передает доставленные письма клиентам (pop/imap/другой протокол).
Наконец, через шлюз проходят запросы пользователей к внешним ресурсам при работе с Интернет (http/ftp) и почтовый поток к и от почтового сервера (smtp).
Схема потоков приведена на рис. 4.2.
увеличить изображение
Рис. 4.2. Схема информационных потоков в типовой локальной сети
Еще раз отметим, что все эти потоки являются типовыми, даже из уже перечисленных узлов рабочие станции могут не участвовать в некоторых потоках, например, станции, на которых обрабатывается информация с ограниченным доступом обычно не подключены к Интернет. В сети может быть произведено разделение на внешнюю и внутреннюю почтовую систему, тогда следует при классификации узлов необходимо учитывать к какой из систем либо к обеим подключена станция, возможно двухсегментное построение вообще всей сети и так далее. Исходя из характеристик узлов и информационных потоков, в которых эти узлы участвуют, и производится классификация узлов всей сети.
Для описанной выше типовой локальной сети, структурно КСАЗ можно разделить на следующие уровни:
- Уровень защиты рабочих станций и файловых серверов
- Уровень защиты почтовых серверов
- Уровень защиты шлюзов
Не следует забывать о том, что защита рабочих станций и файловых серверов подразумевает защиту и мобильных компьютеров, и, если по каким-то причинам это необходимо, удаленных компьютеров которые периодически подключаются к сети.
Каждый из уровней организуется при помощи описанных антивирусных комплексов. Дополнительные требования налагаются на комплекс для защиты рабочих станций и файловых серверов. Учитывая большое количество узлов таких типов и трудозатраты на обслуживание одного узла, а также в целях экономии Интернет-канала, комплекс для защиты рабочих станций и файловых серверов в дополнение должен содержать средство централизованного управления, позволяющее:
- Централизованно управлять настройками клиентского АПО, распределять клиентов по группам администрирования
- Проводить централизованное обновление антивирусных баз для всех клиентов из единого локального источника
- Получать информацию о событиях, происходящих на клиентах, связанную как с вирусными инцидентами, так и с функционированием АПО
- Создавать сводные отчеты о состоянии антивирусной защиты уровня.