Антивирус для корпоративных сетей. Технологии, применяемые для защиты мобильных компьютеров. Эффективная защита корпоративной сети

Страницы работы

Содержание работы

Антивирус для корпоративных сетей

Алексей Доля


Вирусная атака — это наиболее частая угроза корпоративной сети (см., например, статистику Computer Security Institute, отчет Computer Security Issues & Trends. vol. VIII. № 1. весна 2002). Именно из-за этой угрозы крупные и средние компании несут колоссальные потери как в мировом, так и в индивидуальном масштабах.

Окончание. Начало см. в № 3/2004. С. 37.

Технологии, применяемые для защиты почтовых серверов и электронной корреспонденции

В первой части данной статьи уже отмечалось, что основным источником инфицированных объектов является электронная почта. Для того чтобы обезопасить корпоративную сеть, необходимо защитить почтовые серверы и почтовые клиенты на рабочих станциях пользователей.

Для защиты почтовых серверов используется специальное антивирусное решение (почти всегда входящее в состав целого антивирусного комплекса), проверяющее файлы, прикрепленные к электронной корреспонденции. На этом этапе используются те же технологии антивирусного сканирования, что и при защите файловых серверов.

В отличие от защиты файловых серверов и рабочих станций, где гетерогенность антивирусного решения не являлась важной (все же рабочих станций под управлением Linux/Unix еще очень мало), защита почтовых шлюзов может потребовать от антивирусного решения возможности взаимодействия с почтовым сервером как под управлением Windows (Microsoft Exchange Server), так и под управлением Unix/Linux (Sendmail и пр.).

Специфика антивирусного решения, защищающего почтовый шлюз под управлением Unix/Linux, состоит в том, что оно должно отфильтровывать еще и вирусы, способные причинить вред в среде Windows (в большинстве случаев именно эта система используется на рабочих станциях).

Важным элементом общей безопасности является защита почтовых клиентов пользователей. Хотя антивирусный монитор проверяет запускаемые объекты, часто намного эффективнее осуществить инспекции на предыдущем этапе, пока письмо с потенциально инфицированным объектом еще не попало на компьютер пользователя. Для этой цели существует технология фильтрации почтового (SMTP и POP3) трафика. Когда компьютер пользователя получает электронную корреспонденцию с сервера, специальный антивирусный модуль перехватывает управление и осуществляет проверку текста письма и вложений. В случае отправки электронных сообщений инспекция также осуществляется на уровне протокола (SMTP).

Чтобы улучшить взаимодействие антивирусного комплекса с почтовым клиентом, используются технологии, позволяющие интегрировать антивирусный сканер с почтовым клиентом (будь то Microsoft Outlook, The Bat! или что-то еще). Это позволяет избежать проблем с различными форматами почтовых баз данных и устранить повторную проверку объектов всеми модулями антивирусного решения.

При обсуждении электронной корреспонденции невозможно обойти вопросы защиты от спама. Хотя спам не является напрямую вредоносным кодом, средства защиты от него часто входят в состав антивирусного решения.

Для защиты от спама существует целый ряд технологий, комплексное использование которых позволяет почти полностью (эффективность, например, Kaspersky Anti-Spam составляет 95% при 0,01—0,05% ложных срабатываний) исключить этот вредоносный трафик из жизни сотрудников компании (фильтрация проводится на уровне почтового шлюза и спам просто не попадает в ящики пользователей). Антиспамовый фильтр также должен отвечать требованиям гетерогенности.

Важным критерием качества работы антиспамовой системы является отсутствие ложных срабатываний, т. е. писем, по ошибке занесенных в категорию «спам». Для этого применяются технологии лингвистического анализа. Такие методы можно условно разделить на две группы: неформальные и формальные. К первой относятся действия по распознаванию спама, осуществляемые интеллектуальным ядром, которое позволяет распознавать содержание письма с помощью проверки признаков, характерных для спама (поиск в письме определенных слов или словосочетаний, характерных для спама), а также нечеткое распознавание писем по образцу. По каждому письму, отнесенному к спаму, может быть автоматически создана так называемая лексическая сигнатура, которая в дальнейшем позволяет распознать это письмо даже с небольшими модификациями посредством нечеткого сравнения сообщения с набором сообщений-образцов (на основе сопоставления их лексических составов). Антиспамовое решение также позволяет осуществлять поиск и распознавание случайных последовательностей символов. Наличие подобных наборов символов, уникальных для каждого письма, затрудняет распознавание спамерских писем по лексической сигнатуре.

К формальным методам фильтрации относятся: фильтрация на основе RBL («черных» списков, Realtime Blackhole List), фильтрация на основе «белых» списков (списки адресов, от которых почта принимается всегда) и фильтрация по формальным признакам письма. Существует также возможность распознавания изображений, содержащихся в почтовых сообщениях.

Похожие материалы

Информация о работе