Определение типа защиты от вирусов
Существует более дюжины компаний, предлагающих различные решения защиты сети от вирусов, "червей" и "троянских коней". Эти решения предполагают установку защиты на каждом канале поступления информации, в каждой системе или комбинацию этих решений. Существуют и другие решения, когда вложение и сегменты перемещаемых программ переносятся в другую систему, в которой данное вложение будет запущено на выполнение. Это дает гарантию, что если возникнут проблемы, то не на основной сети.
Перемещаемые программы
Новая запись, появившаяся в перечне вопросов к руководству, названному "Часто задаваемые вопросы" (Frequently Asked Questions), – "Что такое перемещаемая программа?". Концепция перемещаемых программ появилась, когда компания Sun разработала язык Java и операционную среду для него. Она заключается в написании одной единственной программы, которая будет работать, где угодно. Путем создания перемещаемых программ, которые загружаются с сетевого сервера, такого как Web-сервер, решена задача, когда одна программа может быть отправлена на любую систему и будет в ней работать.
В настоящее время самое распространенное использование перемещаемых программ в Internet для повышения технического уровня пользователя при работе с Web-узлом. Но принцип перемещаемых программ можно использовать для доставки любых типов приложений, в том числе вирусов и другой гадости.
Тонкость формулировки правила защиты от вирусов заключается в том, чтобы разработать правило, которое не обязывает организацию эксплуатировать какой-то определенный антивирусный пакет программ, поскольку может возникнуть желание сменить его. В большинстве организаций устанавливают антивирусный пакет программ на каждой отдельной системе и запускают его всякий раз, когда пользователь регистрируется в сети. В других организациях используют сетевое оборудование для сканирования трафика, проходящего через определенные контрольные точки. И, наконец, существуют системы, которые сканируют электронную почту и тестируют вложения в отдельной контрольной системе.
Независимо от используемой системы в правилах следует разъяснять, как обрабатывать зараженные вирусами программы. Например, если в организации используется система, которая сканирует вложения электронной почты отдельно от остальных входящих потоков, то это должно быть оговорено в правилах. Это необходимо сделать, поскольку при допросе в суде обязательно нужно будет открыть наличие в организации сканирования, чтобы избежать других обвинений.
В правилах встречаются три типа формулировок, которые определяют полную программу защиты от вирусов. В первой формулировке устанавливается тип необходимого антивирусного мониторинга и тестирования. Затем необходима формулировка проверки целостности системы, которая поможет организации подтвердить работоспособность программы. И, наконец, необходимо рассмотреть правила проверки на вирусы для распределенных или съемных носителей (например, гибких дисков, архивов на ленте и т.п.).
Тестирование на вирусы
Предположим, что в организации приняли решение использовать распределенный подход для защиты от вирусов. (Размеры организации значения не имеют.) В качестве этапа выполнения программы закупается популярный антивирусный пакет, который будет установлен в каждой системе. Администраторы установят и сконфигурируют программное обеспечение, в котором будут программы, выполняющие непрерывное сканирование вирусов и обновляющие еженедельно с помощью предлагаемых поставщиком общедоступных услуг базу данных сигнатур вирусов. Формулировка правил может выглядеть следующим образом.
Антивирусное программное обеспечение должно устанавливаться и конфигурироваться во всех сетевых системах организации таким образом, чтобы гарантировать постоянное сканирование на предмет поиска вирусов, а также периодически обновляться по указанию администраторов.
Проверка целостности системы
Проверка целостности системы может проходить во многих формах. Наиболее распространенные антивирусные пакеты могут хранить перечень файлов базовой системы и сканировать эти файлы каждый раз при загрузке системы для выявления возможных проблем. В других системах существуют средства, которые следят за общей конфигурацией системы, а также проверяют целостность файлов, файловых систем и двоичных кодов в общих областях памяти. Наличие регулярно выполняемых проверок такого типа является еще одной превентивной мерой защиты в программе безопасности. Если организация проводит такие меры, то можно составить следующую формулировку правил.
Все системы, подключенные к сети организации, должны подвергаться периодической общей проверке, чтобы выявлять зараженные вирусами операционные системы и вспомогательное программное обеспечение. Период между проверками не должен превышать одного месяца (30 дней).
Распределенные и съемные носители
Другой сложной областью при разработке правил можно считать защиту не часто используемых устройств или съемных носителей. Свойства и тех, и других меняются, поскольку кто-нибудь может снять диск, ленту или любой носитель, на котором хранятся данные, и установить их на другую систему. Пользователь также может переносить вирусы с одной системы на другую.
Трудность разработки правил заключается в том, что различные системы выдвигают различные требования к съемным носителям. Например, система на основе UNIX имеет не такие требования к сканированию, как система на базе Windows. Однако, мы не можем быть уверены в том, что компакт-диск, записанный в системе UNIX не инфицирует систему Windows.
Один из способов решения этих проблем заключается в введении правил, которые требуют сканировать носители в специальной системе. Формулировка политики может быть следующей.
Пользователи, загружающие какие-либо данные или программы с внешнего носителя, должны перед загрузкой сканировать этот носитель на предмет наличия на нем вирусов.