Построение системы антивирусной безопасности

Лекция 4

 

Построение системы антивирусной безопасности

Атаки вирусов и потери данных

Сегодня вроде бы никого не надо убеждать в необходимости построения антивирусной защиты любой более-менее ответственной информационной системы. По оценкам западных аналитиков, ежегодный общемировой ущерб от проникновения вирусов, червей, троянских коней и прочей программной "живности" составляет от 8 до 12 млрд долларов. Достаточно вспомнить, как в 2001 году весь мир был захвачен вирусом "IloveYou" (ущерб - 2 млрд долларов, затем "отличилась" Nimda (ущерб - до 1 млрд долларов) и т.д. И творцы вирусов не сидят, сложа руки: по различным оценкам, ежедневно в мире неизвестные умельцы создают от 2 до 10 новых вирусов 

Но проблема заключается  в том, что несмотря на наличие  антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует. Это происходит по нескольким причинам:

• Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках
• Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы
• Отсутствует программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются
• Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.

Рисунок показывает процентное соотношение  причин от общего числа потерь данных. Данный Рисунок, с одной стороны  показывает, что процент потерь из-за вирусов относительно небольшой, пользователь для своего компьютера опасней в 4 раза, но с другой стороны, 8% это не так уж мало, чтобы этой опасностью можно было пренебречь. Также можно еще раз убедится что макрокомандные вирусы занимают на сегодняшний день лидирующее место в списке "живых болезней".

 

 

Рисунок  – Причины искажения  данных

Степень опасности  различных категорий  вирусов. Для расчета степени  опасности вычислены среднеарифметические значения процентного соотношения различных категорий вирусов по последним данным Virus bulletin и Wild List.  Макровирусы – 65%, загрузочные – 3%, прочие – 32%.

Структура системы антивирусной безопасности   (АВБ)

В процессе создания антивирусной системы безопасности можно выделить 4 основные этапа, решая которые  проектируется система:

1 этап. Проведение анализа объекта защиты и определение основных принципов обеспечения АВБ:

• Проведение аудита состояния компьютерной системы и средств обеспечения АВБ.
• Обследование и картирование информационной системы.
• Анализ возможных сценариев реализации потенциальных угроз, связанных с проникновением вирусов.

2 этап. Разработка политики антивирусной безопасности:

• Классификация информационных ресурсов – перечень и степень защиты различных информационных ресурсов организации.
• Силы обеспечения АВБ, разделение полномочий – структура и обязанности подразделения, ответственного за организацию антивирусной безопасности.
• Организационно-правовая поддержка обеспечения АВБ – перечень документов, определяющих обязанности и ответственность различных групп пользователей за соблюдение норм и правил АВБ.
• Определение требований к инструментам АВБ – к антивирусным системам, которые будут установлены в организации.
• Расчет затрат на обеспечение антивирусной безопасности.

3 этап. Разработка плана антивирусной безопасности:

Выбор программных средств:

Средства автоматизированной инвентаризации и мониторинга информационных ресурсов.

Разработка требований и выбор средств антивирусной защиты:

• средства антивирусной защиты серверов в локальной сети
• средства антивирусной защиты рабочих станций в локальной сети
• средства антивирусной защиты удаленных серверов/удаленных пользователей
• средства антивирусной защиты групповых приложений и электронной почты типа Microsoft Exchange и Microsoft Mail, Lotus Notes и Lotus cc:Mail
• средства антивирусной защиты шлюзов Интернет (брандмауэры, proxy-серверы, серверы электронной почты Интернет)

Разработка перечня  организационных мероприятий по обеспечению АВБ.

Разработка (корректировка) должностных и рабочих инструкций персонала с учетом политики АВБ  и результатами анализа рисков:

• Периодический анализ и оценка ситуации по обеспечению АВБ.
• Мониторинг средств АВБ.
• План и порядок обновления средств АВБ.
• Контроль соблюдения персоналом своих обязанностей по обеспечению АВБ.
• План обучения определенных категорий пользователей.
• Порядок действий в критических ситуациях.

4 этап. Реализация плана антивирусной безопасности:

• Поставка
• Внедрение
• Поддержка

Остановимся подробнее на втором этапе  проектирования – непосредственно  создание антивирусной политики безопасности.

Цели и задачи системы антивирусной безопасности

Главной целью антивирусной политики безопасности является обеспечение устойчивого функционирования организации и предотвращение угроз его безопасности, недопущение разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических и программных средств. Немаловажным является интеграция в общую систему безопасности организации и взаимоувязка элементов этой системы, определение путей реализации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов.

Задачами системы безопасности являются:

• прогнозирование и своевременное выявление каналов заражения и устранение угроз антивирусной безопасности ресурсам банка; причин и условий, способствующих нанесению ущерба информационным ресурсам;
• создание механизма и условий оперативного реагирования на возникающие угрозы антивирусной безопасности;
• создание условий для максимально быстро и полного возмещения и наносимого ущерба.
• формирование у сотрудников (работников) организации устойчивого понимания необходимости выполнения руководящих документов и предписаний по проведению плановых и неплановых мероприятий.

В дополнение к перечисленным  можно добавить организационно-административные задачи:

• рассматривать и изучать перспективные проекты в вопросах обеспечения антивирусной безопасности;
• подготовка рекомендаций (методик) по закрытию каналов зараженной  информации и правил по их практической реализации;
• осуществление мер по разделению прав введения, использования и распоряжения средствами антивирусной защиты;
• разработка и совершенствование нормативной базы с учетом новейших технологий в области защиты информации и использования передового опыта;
• предупреждение дезинформации, влияющей на стабильную работу сотрудников организации.

Какой должна быть антивирусная защита ?

Требования к структуре системы

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

• службы общекорпоративного уровня - 1-й уровень иерархии;
• службы подразделений или филиалов - 2-й уровень иерархии;
• службы конечных пользователей - 3-й уровень иерархии.

Службы всех уровней  объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в  непрерывном режиме.

Управление всех уровней  должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Антивирусная система  должна предоставлять следующие  виды сервисов на общекорпоративном  уровне:

• получение обновления программного обеспечения и антивирусных баз;
• управление распространением антивирусного программного обеспечения;
• управление обновлением антивирусных баз;
• контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);
• на уровне подразделений:
• обновление антивирусных баз конечных пользователей;
• обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
• на уровне конечных пользователей:
• автоматическая антивирусная защита данных пользователя.

Функциональные требования

• Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
• Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
• Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
• Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
• Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
• Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
• Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.

Общие требования

Программно-технические  компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной  вычислительной среды, удовлетворяющей  следующим общим принципам создания автоматизированных систем:

• Надежность - система в целом должна обладать продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа.
• Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов.
• Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом.
• Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами.
• Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.

Кроме того, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макро вирусов, как наиболее распространенных и опасных в настоящее время.

Требования к надежности и функционированию системы

• Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений.
• Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз.
• Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.
• Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.

Общая структура решения

Общая структура решения  по антивирусной защите банковской информационной системы приведена на рисунке. На первом уровне защищают подключение  в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.