Захист серверів та робочих станцій від зараження комп’ютерними вірусами

 

Захист серверів та робочих станцій можна здійснювати за допомогою Norton AntiVirus Corporate Edition. Окремі робочі станції або групи станцій, долучених до вторинних серверів, можуть перевірятися на наявність вірусів у такі способи:

- вручну або за запитом. Перевіряються обрані файли й теки на обраних робочих станціях:

- у реальному часі. Ця функція невпинно перевіряє на наявність відомих вірусів файли, які читаються/записуються на сервер або робочу станцію;

- планово. Перевіряються обрані файли й теки на обраних робочих станціях запланованого часу.

Для виявлення вірусів можуть виконуватись такі основні й резервні дії щойно після виявлення вірусу:

- лікування інфікованого файла. Якщо обирається даний параметр, система антивірусного захисту намагається вилікувати інфікований файл;

- ізоляція інфікованого файла. Якщо обирається даний параметр, система антивірусного захисту намагається перемістити інфікований файл до ізолятора інфікованої робочої станції. Внаслідок цього користувач цього файла не зможе запустити його, поки він не буде вилікуваний та переміщений назад у початкове розташування. Ізолювання небезпечних файлів запобігає подальшому поширенню вірусу. Можна заражені файли автоматично спрямовувати з робочих станцій та серверів на ізоляторний сервер без втручання користувача. Це дозволяє групі антивірусного захисту переспрямовувати заражені файли до ізольованої області на первинний сервер антивірусного захисту для вивчання;

- вилучання зараженого файла. Якщо обирається даний параметр, система антивірусного захисту намагається вилучати заражений файл. Даний параметр використовується лише в тому випадку, якщо заражений файл можна замінити чистою резервною копією, оскільки файл вилучається назавжди;

- залишити як є, й надіслати повідомлення. Якщо обирається даний параметр, система антивірусного захисту сповіщатиме про виявлення вірусу й записуватиме подію, але не виконуватиме жодних інших дій.

Система антивірусного керування має єдину консоль керування. Засобом адміністрування системи антивірусного захисту є Symantec System Center. Symantec System Center дає можливість регулювання корпоративної антивірусної політики шляхом налаштовування, переглядання та блокування конфігурацій на клієнтах і серверах, що дозволяє уникнути втручання користувачів у політику захисту інформації.

Symantec System Center складається з таких компонентів:

- консоль Symantec System Center;

- cистема керування сигналами.

Основні функції, виконувані з консолі Symantec System Center:

- створення й керування групами вторинних серверів та підімкнених до них робочих станцій та серверів;

- виявлення нових вторинних серверів та робочих станцій;

- переглядання інформації про антивірусний захист серверів та робочих станцій;

- керування подіями з сигналами попереджування;

- запускання дистанційного пошуку вірусів на серверах та робочих станціях;

- керування оновленнями.

Система керування сигналами надає можливості керування позаштатними ситуаціями. Вона дозволяє налаштовувати різні засоби попереджування про виявлені віруси, включаючи пейджер, SMS, SNMP та електронну пошту.

Для переглядання списку всіх сигналів, генерованих мережними комп’ютерами, на яких запущено модулі системи антивірусного захисту, можна використовувати журнал сигналів. Первинні та вторинні сервери зберігають власні локальні копії журналів сигналів.

Журнал вірусів містить перелік усіх виявлених вірусів для обраних робочих станцій або груп робочих станцій. Можна обрати об’єкт у списку й виконати додаткові дії, такі як “Вилучити” або “Ізолювати”.

Журнал оглядання використовується для переглядання виконаних або виконуваних сеансів оглядання вірусів на обраних робочих станціях або групах робочих станцій. Можна призначити часовий діапазон для добирання записів у журналі.

Журнал подій містить решту інформації, яка не потрапила до двох попередніх категорій.

Якщо буде виявлено новий вірус, то електронною поштою одержується оновлений опис вірусів. В інформаційно-обчислювальній системі є кілька методів завантаження вірусних описів і налаштовування захищених серверів та робочих станцій для їхнього одержання:

- Метод транспортування вірусних описів. Цей метод можна використовувати для цілковитої автоматизації процесу оновлення вірусних описів для всіх серверів та робочих станцій системи антивірусного захисту.

- LiveUpdate. Головна перевага цього методу полягає у невеликому розмірі файла, який розгортається. Norton AntiVirus визначає, який вірусний опис уже розміщено на сервері або робочій станції. Надалі запитується лише частина файла, яка містить нові дані. Для порівняння: метод транспортування вірусних описів використовує набагато більший файл, який потребує більшої смуги пропускання мережі. Первинний сервер завантажує файли описів вірусів. Потім вторинні сервери завантажують оновлення з первинного сервера для своїх робочих станцій.

- Definition Updater. Цей метод можна використовувати, аби легко розподіляти оновлення вірусних описів для мобільних користувачів за допомогою корпоративної електронної пошти.

- Intelligent Updater. Файли Intelligent Updater – це архіви, які саморозпаковуються. Вони доступні для завантаження через Інтернет. Цей метод може використовуватися для доставляння спеціальних файлів описів вірусів.

Отже, на підприємстві зв’язку, де використовуються інформаційні технології, слід зреалізовувати заходи щодо виявлення й запобігання проникненню вірусів до систем та процедури інформування користувачів про їхню шкоду. Запобігання проникненню вірусам, зрозуміло, є більш раціональне, аніж ліквідація наслідків від їхнього проникнення. В основу захисту від вірусів має бути покладено знання й розуміння правил безпеки, належні засоби керування доступом до систем і наведені нижче рекомендації:

1. Підприємство має визначати формальну політику, котра вимагала б дотримання умов ліцензій на використання програмного забезпечення і забороняла б використання несанкціонованих програм.

2. Антитивірусні програмні засоби, розроблені постачальником з доброю репутацією, слід використовувати в такий спосіб:

- програмні засоби виявлення конкретних вірусів мають регулярно оновлюватися й використовуватися відповідно до інструкцій постачальника. Вони застосовуються для перевіряння комп’ютерів та носіїв інформації на наявність відомих вірусів як запобіжний захід або як повсякденна процедура;

- мають використовуватись програмні засоби виявлення змін, внесених до даних, для виявлення змін у виконуваних програмах;

- програмні засоби нейтралізації вірусів слід використовувати з обережністю й лише в тих випадках, коли характеристики вірусів цілковито вивчено, а наслідки від їхньої нейтралізації є передбачувані.

3. Слід проводити регулярне перевіряння програм та даних у системах, які підтримують критично важливі виробничі процеси. Наявність випадкових файлів та несанкціонованих виправлянь має бути розслідуване за допомогою формальных процедур.

4. Дискети невідомого походження перевіряють на наявність вірусів до їхнього використання.

5. Слід визначати процедури керування й обов’язки стосовно повідомлення про випадки зараження систем комп’ютерними вірусами і вживання заходів з ліквідації наслідків від їхнього проникнення. Слід складати належні плани забезпечування безперебійної роботи підприємства у разі випадків вірусного зараження, у тому числі плани резервного копіювання всіх необхідних даних і програм та їхнього відновлювання.

Ці заходи є особливо важливі для мережних файлових серверів, які підтримують велику кількість робочих станцій.