Вирусы и средства борьбы с ними
       

Общие сведения


Как известно из предыдущего материала первый уровень комплексной системы антивирусной защиты - это уровень защиты шлюзов.

В этом названии кроется неточность, которая может ввести в заблуждение. Формулировка "уровень защиты шлюзов" способна навести на мысль, что основной задачей антивирусов, предназначенных для использования на этом уровне, является защита самого шлюза от воздействия вредоносных программ. Это не так. Ни операционную систему шлюза, ни программное обеспечение, выполняющее шлюзовые функции антивирус для шлюзов не защищает.

Задача антивируса установленного на шлюзе в другом — не допустить проникновения вирусов вовнутрь сети через поток данных Интернет.

Здесь может возникнуть вопрос — зачем нужен антивирус, который, по сути, ничего не защищает? Ведь есть антивирусы для файловых серверов и рабочих станций, которые установлены непосредственно на компьютерах сети и призваны защищать от всех существующих вирусных угроз.

Дело в том, что ни одна защита не бывает абсолютной. Это связано даже не с фундаментальными результатами математиков, а с тем что надежность и эффективность антивирусного средства зависит от множества факторов - программного окружения, действий пользователя, настроек и т. д. Можно описать целый ряд ситуаций, при которых однажды установленный на компьютер антивирус оказывается частично или полностью неэффективным в борьбе с вредоносными программами:

  • Простейшая ситуация — пользователь посчитал, что антивирус препятствует нормальной работе приложений и отключил постоянную защиту (либо полностью отключил антивирус, либо вовсе его деинсталлировал). Можно много говорить о том, что такие действия пользователя можно предотвратить техническими и административными мерами, но на практике очень часто рядовые пользователи имеют права администратора на своих компьютерах: в такой ситуации помешать пользователю вывести из строя антивирус технически невозможно
  • Произошел сбой в работе антивируса — так тоже случается, иногда из-за ошибок в антивирусе, иногда - по причине конфликтов с программным обеспечением третьих производителей, которое было неосмотрительно установлено на компьютере (например, тем же пользователем с правами локального администратора)
  • Антивирусные базы устарели — даже при нормально работающем антивирусе могут возникать ситуации, когда антивирусные базы в течение какого-то времени будут в значительной мере устаревшими.
    Например, если пользователь компьютера заболел или ушел в отпуск, компьютер будет выключен на протяжении одной - двух недель и после включения антивирусные базы на нем будут устаревшими и значит неэффективными в борьбе с относительно свежими угрозами. Поскольку обновление происходит, обычно, в соответствии с определенным расписанием, между в включением компьютера и обновлением антивирусных баз может пройти от нескольких часов до нескольких дней, и в этот период защита компьютера будет неэффективной.


Можно сказать, что каждый из приведенных сценариев маловероятен. Но если рассматривать достаточно большую сеть, то вероятность того, что хотя бы один из компьютеров в какой-то из моментов времени окажется незащищенным существенно возрастает и с ней уже приходится считаться. И если ничто не будет мешать проникновению вредоносных программ из Интернет, это будет означать, что существует немалая вероятность заражения одного из компьютеров сети.

Поэтому кроме обеспечения защиты самих компьютеров, крайне важно максимально ограничить количество проникающих в сеть вредоносных программ, чтобы временная неэффективность защиты на отдельных узлах не превращалась в серьезную угрозу безопасности.

Здесь можно отметить, что все перечисленные ситуации, при которых оказывается отключенным антивирус или не обновленными - антивирусные базы, действительно способны представлять угрозу только в больших сетях. Во-первых, вероятность реализации каждой из описанных возможностей достаточно мала и становится существенной только на фоне большого количества компьютеров, в малых сетях эти вероятности так и остаются несущественными.

Во-вторых, возникновение подобных ситуаций должно отслеживаться администратором антивирусной безопасности. В крупных сетях хотя бы на то, чтобы добраться до проблемного компьютера, может потребоваться значительное время, в течение которого уровень защиты сети не может считаться приемлемым. В малых сетях, напротив, все компьютеры на виду и легко доступны, что позволяет администратору антивирусной безопасности вовремя реагировать на возникающие проблемы.

Таким образом, антивирус для шлюза - это первый уровень защиты на пути проникновения вирусов в сеть организации, основная задача антивируса - помешать проникновению вирусов вовнутрь сети, снижая вероятность заражения компьютеров. Антивирус для шлюзов более эффективен и даже необходим при защите крупных сетей. В малых сетях его относительная полезность в обеспечении общей безопасности несколько ниже.

Впрочем, принимая во внимание, что в малых сетях далеко не всегда есть не то что администратор антивирусной безопасности, а штатный администратор вообще, использование антивируса на шлюзе будет не лишним и в этом случае.

Далее в этой главе будут рассмотрены:

  • схемы защиты сети с использованием антивируса для шлюзов
  • основные требования к антивирусам такого класса
  • вирусные угрозы от которых могут и не могут защитить шлюзовые антивирусы
  • особенности эксплуатации антивирусов для шлюзов: управление, обновление, диагностика



Содержание раздела