Антивирусный комплекс 53 Комплексная система защиты информации 56 Общие сведения 67 Возможные схемы защиты 69 Требования к антивирусам для шлюзов 82 Угрозы и методы защиты от них 83

Вид материалаКонтрольные вопросы

Содержание


Эксплуатационные характеристики
Подобный материал:
1   ...   14   15   16   17   18   19   20   21   ...   37

Эксплуатационные характеристики


Как и любая программа, помимо профилирующих характеристик, антивирусный комплекс для шлюза должен удовлетворять определенным требованиям к условиям эксплуатации. В частности, в контексте антивирусов, важными являются такие характеристики как:
  • Управление
  • Обновление
  • Диагностика
  • Производительность

Управление


Способы управления универсальными антивирусами для шлюзов и теми, которые построены на принципах интеграции, обычно несколько отличаются.

Универсальные антивирусы в силу своей специфики должны обладать полностью самостоятельными средствами управления. При этом локального интерфейса для таких антивирусов недостаточно. Далеко не всегда рабочее место администратора расположено в непосредственной близости от шлюза. Нередко все сервера сосредоточены в отдельном помещении с ограниченным физическим доступом. Поэтому антивирусу для шлюзов необходим также и удаленный интерфейс управления.

Чаще всего для удаленного управления применяется веб-интерфейс. Для этого в составе антивируса имеется встроенный веб-сервер. Иногда используется штатный веб-сервер для операционной системы, на которой установлен антивирус: например, Internet Information Server на Windows NT/2000/2003.

Особо изощренных средств разграничения доступа к веб-интерфейсу в антивирусах этого класса обычно нет. Используется аутентификация при помощи пароля. В качестве идентификатора может выступать IP- адрес, если используется ограничение на IP-адреса, с которых разрешено управление.

Что касается локального интерфейса, то в универсальных антивирусах для шлюзов он, как правило, стандартен для той операционной системы, на которой антивирус установлен. В случае Windows это либо специально разработанный оконный интерфейс, либо оснастка для MMC (Microsoft Management Console) - стандартного интерфейса управления под Windows. В случае Unix-систем, в качестве интерфейса управления выступают конфигурационные файлы и командная строка.

Если же речь идет об антивирусах, интегрирующихся с брандмауэрами, то и средства управления для них обычно выполнены в виде модулей, интегрирующихся в средства управления брандмауэром.

Пример. Антивирус Касперского для Microsoft ISA Server управляется через встраиваемый модуль в программе управления ISA-сервером - ISA Management, которая в свою очередь является оснасткой для MMC. Поскольку ISA Management может использоваться как для локального, так и для удаленного управления, аналогичными свойствами обладает и система управления Антивирусом Касперского для Microsoft ISA Server. Для доступа к системе управления необходимо обладать правами администратора на компьютере с установленным ISA-сервером.

Еще одним подходом к управлению антивирусами для шлюзов является использование централизованной системы управления. Основной задачей такой системы является управление антивирусами, установленными на рабочих станциях и серверах Windows. При этом в рамках унификации управления, через централизованную систему могут управляться и другие антивирусные продукты того же производителя.

Пример. Для удаленного изменения параметров проверки в Антивирусе Касперского для CheckPoint Firewall используется система управления Kaspersky Administration Kit 4.5, тогда как параметры передачи трафика на проверку настраиваются при помощи средств управления брандмауэром.

Отдельного рассмотрения заслуживает управление антивирусами для шлюзов, установленных на нескольких Microsoft ISA Server, объединенных в массив (Array).

Пример. Антивирус Касперского для Microsoft ISA Server сегодня является единственным антивирусом для ISA-серверов, который поддерживает полную интеграцию с массивами ISA-серверов. При этом можно управлять настройками антивирусов, установленных на всех ISA-серверах массива, синхронно, т. е. точно так же, как настройками одного сервера. Альтернативно, можно задать для разных антивирусов разные настройки.

Обновление


Обновление антивируса для шлюзов осуществляется штатными средствами обновления и, как правило, поддерживает следующие источники:
  • HTTP-сервера
  • FTP-сервера
  • Локальные или сетевые папки

Каких-либо особенностей здесь нет. Средства обновления во всех распространенных антивирусах для шлюзов обеспечивают необходимый минимум функций:
  • Возможность указать источник обновления
  • Возможность выполнять обновление вручную
  • Возможность выполнять обновления автоматически по расписанию

Поскольку антивирусы для шлюзов обычно являются обособленными средствами защиты, вопрос о какой-то специальной системе обновления для них не стоит. Тем не менее, если эти антивирусы включаются в централизованную систему администрирования, они могут использовать и централизованную систему обновления.

Немного особняком стоит вопрос об обновлении нескольких экземпляров антивирусов для Microsoft ISA Server, в случае установки на массив серверов.

Пример. Если Антивирус Касперского для Microsoft ISA Server установлен на массив серверов, то для обновления антивирусов на всех серверах массива можно использовать функцию ретрансляции. Для этого выбирается один из серверов массива, на котором антивирус будет обновляться через Интернет (или из другого источника) и распространять обновления на другие сервера массива. Для распространения обновлений штатно предусмотрен режим использования общей папки Windows

Диагностика


Основным средством диагностики шлюзового антивируса являются журналы работы. Как правило, это обычные текстовые файлы, куда записывается вся информация о происходящих событиях, в частности о проверенных объектах, результатах проверки и выполненных действиях. Журналы позволяют администратору антивирусной безопасности провести анализ событий и, например, выяснить источник и обстоятельства проникновения вируса в сеть, или же причины неполадок другого рода.

Кроме журналов событий, антивирус для шлюза должен иметь возможность уведомить пользователя и администратора о том, что имела место попытка загрузить зараженный объект. Для оповещения пользователей обычно используется подмена загружаемого объекта html-страницей с текстом уведомления. Для уведомления администратора используются сообщения электронной почты.

Наконец, часто есть необходимость выяснить причины низкой производительности антивируса для шлюзов. Для этого удобно использовать счетчики производительности, отображающие в реальном времени:
  • Количество обработанных объектов
  • Количество инфицированных объектов
  • Количество составных объектов
  • Количество ошибок
  • И т. п. показатели

Реализация подобной функциональности обычно базируется на стандартном средстве мониторинга производительности в Windows NT-подобных системах - Performance Monitor.

Производительность


Для повышения производительности можно использовать различные схемы подключения, о которых речь шла ранее. Кроме этого, в некоторых случаях можно регулировать степень использования системных ресурсов.

Пример. В Антивирусе Касперского для CheckPoint Firewall можно использовать параллельно несколько антивирусных ядер для проверки объектов. Рекомендуется использовать четыре ядра на каждый физический процессор.