Разработка системы антивирусной защиты организации на основе политики и анализа рынка антивирусного ПО

Усовершенствована система управления пользовательскими настройками, политики управления конфигурациями конечных точек стали более гибкими, поддерживаются репликация данных и иерархическая структура ERA-серверов. Отслеживание обновлений безопасности Windows. ESET NOD32 своевременно подает сигналы пользователю или администратору в случае появления критических обновлений для операционной системы. ESET SysInspector. Утилита, являющаяся неотъемлемой частью ESET NOD32 Business Edition, представляет собой мощный диагностический инструмент, который позволяет быстро обнаружить скрытые в системе руткиты без необходимости запуска полного сканирования. В результате осуществляется контроль за всеми изменениями в операционной системе, регистрационных данных приложений, настройках браузеров. Записи журналов работы ESET SysInspector могут, по желанию пользователя, передаваться специалистам служб техниче-ской поддержки и антивирусной лаборатории ESET для анализа и оказания своевременной помощи.Функциональные возможности и эффективность функционирования SymantecSymantec AntiVirus обеспечивает расширяемые, независимые от платформы средства защиты от вирусов для рабочих станций и сетевых серверов для всего предприятия. С помощью расширенных функций защиты и централизованного управления политиками Symantec AntiVirus администраторы могут управлять клиентами и серверами, входящими в состав логических групп.Кроме того, администраторы могут разрабатывать и применять политики безопасности, блокировать доступ к политикам и параметрам, чтобы постоянно поддерживать своевременное обновление и правильную настройку систем. Консоль централизованного управления позволяет администраторам контролировать сети, находить незащищенные узлы, а также применять необходимые меры защиты до возникновения угрозы.Установка клиентов и серверов с помощью программы Windows Installer (.msi). Позволяет устанавливать клиенты и серверы Symantec AntiVirus с помощью программы Windows Installer, поддерживающей установку и развертывание пакетов в формате .msi. Ниже перечислены преимущества использования программы Windows Installer:- Возможность полноценной настройки установки с помощью стандартных функций программы Microsoft Windows Installer, которые можно применять совместно с функциями Symantec AntiVirus;- Уменьшение размеров файлов установки и развертывания;- Возможность установки исправлений для обновления и модернизации защиты;- Поддержка дополнительных средств развертывания пакетов .msi независимых производителей, таких как Active Directory и TivoliАвтоматическая защита pаменяет постоянную защиту файловой системы и позволяет выполнять осмотры быстрее.Автоматическая защита может загружаться при запуске системы и выгружаться при ее выключении, чтобы обеспечить защиту от таких вирусов как Fun Love. Кроме того, автоматическая защита может быть перезагружена немедленно или после перезапуска компьютера.В автоматической защите предусмотрены следующие функции и возможности:- Осмотр электронной почты, позволяющий защитить как входящие, так и исходящие сообщения электронной почты,передаваемые по сети Интернет по протоколам POP3 и SMTP.- Функция SmartScan, заменяющая функции осмотра выбранных типов и осмотра выбранных исключений.Функция SmartScan осматривает файлы .exe и .doc даже в том случае, если вирус поменял их расширения на такие, которые функция SmartScan должна игнорировать.- Кэширование файлов, позволяющее создать индекс незараженных файлов, позволяет уменьшить объем памяти, используемой автоматической защитой, и обеспечивает дополнительные возможности для отслеживания неполадок.- Rtvscan (основная служба Symantec AntiVirus) и автоматическая защита представляют собой отдельные компоненты в версии для Windows. В случае завершения работы Rtvscan автоматическая защита продолжает поиск вирусов. Позволяет обнаруживать новые угрозы из следующих категорий: Программы-шпионы, программы показа рекламы, программы набора номера, программы-шутки, программы удаленного доступа, инструменты взлома и следящие программы. Другие угрозы, которые не соответствуют этим категориям, включены в категорию риска для защиты.Symantec AntiVirus позволяет разворачивать защиту и управлять ей в соответствии с требованиями вашей компании. Symantec AntiVirus может организовать наиболее эффективную реализацию решения, обеспечивающего безопасность, благодаря своим сильным сторонам:- Symantec System Center- Установка- Обновление защиты- Связь- Предупреждения- Digital Immune SystemSymantec System Center состоит из компонентов, позволяющих выполнять административные операции, например устанавливать защиту на рабочих станциях и сетевых серверах, обновлять описания вирусов и управлять сетевыми серверами и рабочими станциями, на которых установлен Symantec AntiVirus. Symantec System Center также поддерживает функции предупреждений.2.3. Сравнительный анализ систем антивирусной защитыОдним из самых важных критериев сравнения антивирусов является проверкана возможность обнаруживания и и удаление вредоносные программы, уже проникшие на компьютер, начавшие действовать и скрывающие следы своей активности. Такие тесты проводились различными журналами например известен тест проведенный журналом Anti-Malware.ru. Итоговые результаты сравнительного теста представлены в табл. 2.11.Таблица 2.11Итоговые результаты сравнения антивирусных систем защиты по лечению активного зараженияАнтивирусНаграда% вылеченныхDr.Web Anti-Virus 5.081%Kaspersky Anti-Virus 2010Avast! Professional Edition 4.863%Microsoft Security Essentials 1.0Norton AntiVirus 201056%F-Secure Anti-Virus 201044%Panda Antivirus 2010Тест провален38%AVG Anti-Virus & Anti-Spyware 9.031%Avira AntiVir PE Premium 8.1Sophos Anti-Virus 9.0Trend Micro Antivirus plus Antispyware 2009BitDefender Antivirus 200925%Eset NOD32 Antivirus 4.0McAfee VirusScan Plus 201019%Comodo Antivirus 3.1313%Outpost Antivirus Pro 2009VBA32 Antivirus 3.126%  Рис. 2.7: Динамика изменения возможностей антивирусов по лечению активного зараженияВ итоге только 6 из 17 протестированных антивирусов показали достойные результаты по лечению активного заражения. Лучшими по результатам теста оказались Dr.Web и Антивирус Касперского, которые корректно вылечили систему в 13 из 16 случаев.Хорошие результаты также показали антивирусы Avast! Professional Edition и Microsoft Security Essentials, а также Norton AntiVirus и F-Secure Anti-Virus. Отдельно необходимо отметить неожиданно высокие результаты нового бесплатного антивируса Microsoft, который с первого же раза сумел войти в призеры этого сложного теста. Такой результат свидетельствует, что корпорация уделяет внимание проблеме устранения активных заражений.Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продуктарис. 2.7-2.8Рис. 2.8. Динамика изменения возможностей антивирусов по лечению активного зараженияКак видно из рисунков 2.7-2.8, никакого прогресса в лечении сложных видов угроз по индустрии в целом не наблюдается. Положительную динамику в последних тестах продемонстрировал только Антивирус Касперского и F-Secure. Открытие прошлого теста, Outpost, к сожалению, сдал позиции и не смог закрепиться в группе сильнейших. Стабильно лучшими антивирусами для лечения активного заражения остаются четыре продукта: Dr.Web, Антивирус Касперского, Avast и Norton. Результаты других антивирусов или балансируют на неудовлетворительном уровне или, что еще хуже, снижаются. ВыводыВо второй главе дипломной работы рассмотрены рейтинги и обзоры антивирусных программ по данным ведущих влиятельных антивирусных тестеров. Сформированы списки антивирусных программ – кандидатов на использование в рамках антивирусной системы рассматриваемого предприятия. Впервые проведен SWOT – анализ победителей рейтинга антивирусных тестеров, выделены сильные и слабые стороны каждого антивирусного программного продукта.Рассмотрена функциональность и особенности применения победителей актуальных рейтингов антивирусного программного обеспечения.3. Разработка рекомендаций и экономическое обоснование затрат на создание эффективной системы антивирусной защиты3.1. Рекомендации по созданию эффективной антивирусной защиты информационных системДля организации полноценной и эффективной работы локальной компьютерной сети, необходимо, чтобы компьютеры в ней [2,4,5]:имели возможность обмениваться информацией между собой с помощью сетевых технологий (то есть не только мобильных носителей);могли хранить и обрабатывать информацию на выделенных сетевых серверах, если это требуется в работе;получать и отправлять электронные письма;имели доступ в Интернет, если это предусмотрено и разрешено политикой организации;- могли использовать другие сетевые технологии – сетевой принтер, факс.Большинство существующих сегодня в мире компьютерных сетей – это сети среднего масштаба, имеющие в своем составе один шлюз, который отвечает за связь с Интернет, один почтовый сервер, принимающий и пересылающий электронные письма, несколько сетевых серверов и десятки рабочих станций. Поэтому, разработку рекомендаций и экономическое обоснование затрат на создание эффективной системы антивирусной защиты проведем на примере информационно-вычислительной системы организации, состоящей из 1 сервера, 15 рабочих станций, обладающих доступом ксети Интернет (рис.3.1) .Рис. 3.1 – Предполагаемая модель организацииКаждой рабочей станции доступно проведение следующих способов для него способов обмена информацией и в соответствии с этими данными, возможно выделить все рабочие станции на такие сегменты:рабочие станции и сетевые сервера – обмен файлами по сети и с помощью мобильных носителей;почтовые сервера – прием и отправка электронных писем, иногда обмен файлами по сети и с помощью мобильных носителей;шлюз – организация обмена файлов между компьютерами локальной сети и более глобальной сетью, например Интернет. Дополнительно возможен обмен файлами по сети и с помощью мобильных носителей.Рабочие станции также могут принимать электронную почту, однако фактически они ее копируют либо с почтового сервера, либо со шлюза, что можно приравнять к внутрисетевому обмену данными. Как было показано в главе 2 - архитектура системы антивирусной защиты сильно зависит от функции рассматриваемого компьютера, а именно от присутствующих у него каналов связи с окружающим миром [5,7]. Анализ организации, которая выбрана в качестве модели позволяет определить необходимый уровень защитыкак уровень защиты рабочих станций и серверов.При этом уровне защите подлежат все компьютеры локальной сети и служит самым последним оплотом на пути проникновения вредоносных программ. Защита рабочих станций и сетевых серверов ответственна в первую очередь за чистоту файловой системы каждого из компьютеров сети. Следовательно, она в обязательном порядке должна содержать постоянную проверку, как механизм предотвращения заражения системы вирусами, проверку по требованию – процедуру для тщательной ревизии рассматриваемой машины, и нейтрализации проникших на нее вредоносных программ, и модуль для поддержания вирусных сигнатур в актуальном состоянии. С помощью специальных программ и утилит для централизованного удаленного управления, можно не вставая из-за своего компьютера одновременно управлять и настраивать программы на удаленных компьютерах и подчиненных ему других элементах сети.Следовательно, к антивирусному комплексу для защиты рабочих станций и сетевых серверов предъявляется дополнительное требование – наличие в его составе программного средства для удаленного централизованного управления локальными приложениями.Проведенный в главе 2 анализ позволяет предложить в качестве такого антивирусного программного средства Kaspersky Enterprise Space Security. Указанное средство является Решением для защиты рабочих станций, смартфонов и серверов совместной работы от всех видов современных интернет-угроз; удаляет вирусы из потока электронной почты, обеспечивает сохранность информации и безопасный доступ пользователей к сетевым ресурсам.Стоимость приобретения лицензии на 1 год для одного сервера и пятнадцати рабочих станций составит 45 035 руб.Часто для обеспечения антивирусной защиты применяется межсетевое экранирование (МЭ) называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы. МЭ основное название, определенное в РД Гостехкомиссии РФ, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). По определению МЭ служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей корпоративной сети организации. Задачами МЭ, как контрольного пункта, являются: - Контроль всего трафика, входящего во внутреннюю корпоративную сеть - Контроль всего трафика, исходящего из внутренней корпоративной сети Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение – пропустить дальше, перебросить за экран, блокировать или преобразовать данные. Неотъемлемой функцией МЭ является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации МЭ и принять решение об изменении правил МЭ. Выделяют следующую классификацию МЭ, в соответствие с функционированием на разных уровнях МВОС (OSI): - мостиковые экраны (2 уровень OSI) - фильтрующие маршрутизаторы (3 и 4 уровни OSI) - шлюзы сеансового уровня (5 уровень OSI) - шлюзы прикладного уровня (7 уровень OSI)- комплексные экраны (3-7 уровни OSI)При планировании применения маршрутизатора необходимо учитывать топологию сети. В сети рассматриваемой организации имеются ресурсы, которые должны быть доступны как из глобальной сети, так и из локальной (например, почтовый сервер, веб-сервер, FTP-сервер и т. д.). Возможны два варианта подключения.В одном случае и рабочие станции, и серверы находятся в одном сегменте сети. Такой вариант встречается в небольших организациях, где количество рабочих станций не превосходит 20 машин, а серверов зачастую не больше двух.В другом случае сеть организации содержит подсети, и соответственно серверы, доступ к которым необходим как снаружи, так и изнутри, находятся в одной подсети (которая также именуется DMZ, демилитаризованной зоной), а пользователи и локальные ресурсы находятся в других подсетях. При такой топологии серверы, находящиеся в DMZ, должны быть отделены одним межсетевым экраном от Интернета и другим – от локальной сети. Однако далеко не все, особенно небольшие компании, могут позволить себе использовать два сервера для защиты сети, поэтому рассматриваем первый вариант подключения для рассматриваемой модели организации. Поэтому зачастую прибегают к более дешевому варианту: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй – в DMZ и третий – в локальную сеть.На рис. 3.2 изображены два варианта подключения межсетевого экрана. В случае «а» используются два межсетевых экрана, один подключен к WAN и DMZ, а второй – к DMZ и LAN, в случае «б» – один межсетевой экран, подключенный и к WAN, и к LAN, и к DMZ.Рис.3.2 – Варианты развертывания межсетевого экрана и демилитаризованной зоныВ качестве аппаратного устройства межсетевого экрана выбрано устройство D-Link DFL-1600 (рис.3.3). Стоимость данного решения составляет 18 990р.Рис.3.2 – Межсетевой экран D-Link DFL-1600Данное устройство серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировки нагрузки, функций отказоустойчивости, механизма Zone-Defense, фильтрации содержимого, аутентификации пользователей, блокировки «мгновенных» сообщений и приложений Р2Р, защиты от атак «отказ в обслуживании» DoS и виртуальных локальных сетей VPN. Эти устройства соответствуют требованиям предприятий к безопасности и удаленному доступу, обеспечивая высокопроизводительное решение по разумной цене. В межсетевых экранах гармонично объединены расширенные функции, предоставляющие администраторам сетей решение безопасности «все в одном» business-класса.3.2. Экономическое обоснование затрат на создание и функционирование антивирусной системы защитыОценим затраты на создание и функционирование антивирусной системы защиты.В основе оценки лежит- оценкапрямых и косвенных затрат на реализацию системы. – суммарные затраты – подготовка проекта – техническая составляющая – услуги контрагентов – содержание персонала предприятия – затраты непредвиденныеПри подготовке проекта рассчитываются суммарные затраты на выполнение необходимых мероприятий:Технологические исследованияАудит состояния существующей службы безопасностиПланирование и подготовка мероприятийИзучение опыта обеспечения безопасности в аналогичных компаниях (бенчмаркинг)Оценка стоимости организации и проведения тендеровСтоимость технической составляющей определяется как суммарные затраты на закупку необходимых устройств, материалов и комплектующих, необходимых для осуществления монтажа системы.В зависимости от вида закупаемой продукции, комплектации технических устройств, предлагаемая система бухгалтерских проводок и специфик налогообложения, часть изделий может быть зачислена в разряд основных фондов, что приведет к дополнительным затратам в виде выплат налога на имущество.Суммарные затраты на техническую составляющую:Стоимость технических устройств и изделийСтоимость расходных материаловСтоимость комплектующихСтоимость программного обеспеченияСтоимость инструментовИнструменты, изделия и комплектующие, возвращаемые на возмездной основе, зачисляются в разряд возвратных отходов, а полученная от их реализации сумма вычитается из суммы технической составляющей.Стоимость услуг контрагентов рассчитываются как сумма затрат на работы, выполняемые сторонними организациями:Стоимость исследованийСтоимость экспертных оценокСтоимость консультацийСтоимость проектно-монтажных работСтоимость пуско-наладочных работСтоимость транспортных и других услугСумма затрат на персонал предприятия рассчитываются, как сумма затрат на выплату основного оклада, надбавок за тарифный разряд, премии, материальной помощи с учетом обратных вычетов в виде штрафов, налоговых и других удержаний.Сумма затрат от непреднамеренных потерь рассчитываются как сумма затрат на потери на брак и нарушение технологии при реализации проекта, потери от технологических сбоев, потери от ошибок в работе персонала, потеря от поломки инструментов, комплектующих, потери от форс-мажорных обстоятельств.В табл. 3.1 представлены основные затраты на реализацию проекта по созданию и функционирование антивирусной системы защиты.Таблица 3.1Затраты на реализацию проекта антивирусной защиты№ п/пЗатраты, руб (%)Затраты на подготовку проектаСтоимость технологических исследований5 000 руб.Аудит состояния службы безопасности10 000 руб.Планирование и подготовка мероприятий, направленных на создание интегрированной службы безопасности10 000 руб.Проведение маркетинговых исследований лидера отрасли10 000 руб.Организация и проведение тендеров10 000 руб. Ценовые категории технической составляющейМежсетевой экран18 990 руб.Коннекторы2000 руб.Сетевой кабель 10 руб. метрКрепеж сетевого кабеля20 руб. метрСтоимость программного обеспечения45035 руб.Затраты на услуги контрагентовСуммарная стоимость исследования5 000 руб.Стоимость работы экспертов (экспертные оценки)10 000 руб.Стоимость консультаций10 000 руб.Монтаж оборудования40%Пуско-наладочные работы5%Транспортные услуги10 000 руб.Затраты на персонал предприятияЗ/П (основной оклад)1.Начальник отдела30 000 руб.2.Специалист25 000 руб.Основываясь на значениях, приведенных в таблице 3.1, рассчитаем основные компоненты суммарных затрат: руб.Считаем, что необходимо 100 м сетевого кабеля для подключения сетевого экрана руб.руб.руб.Зная, слагаемы общих затрат, можем определить суммарные затраты на реализацию проекта системы антивирусной защиты руб.Таким образом, суммарные затраты на разработку, создание и функционирование антивирусной защиты предприятия составит 203621 руб.ВыводыВ третьей главе дипломного проекта предложен конкретный проект антивирусной системы защиты. Рассмотрены процессы внедрения антивирусной системы защиты на примере выбранной модели предприятия.Антивирусная система защиты включает программное обеспечение Kaspersky Enterprise Space Security, в качестве программных средств антивирусной защиты предлагается использовать Межсетевой экран D-Link DFL-1600. В работе оценены суммарные затраты на разработку, создание и функционирование антивирусной защиты предприятия, которыесоставили 203621 руб.ЗаключениеДипломный проект посвящен разработке системы антивирусной защиты предприятия. В первой главе проекта рассмотрены основные понятия антивирусной защиты и политики безопасности. Рассмотрены основные угрозы информационной системе. Классифицированы компьютерные вирусы и вредоносные программы. Рассмотрены основные общие моды борьбы с компьютерными вирусами и вредоносными программами.Во второй главе дипломногопроекта рассмотрены рейтинги и обзоры антивирусных программ по данным ведущих влиятельных антивирусных тестеров. Сформированы списки антивирусных программ – кандидатов на использование в рамках антивирусной системы рассматриваемого предприятия. Впервые проведен SWOT – анализ победителей рейтинга антивирусных тестеров, выделены сильные и слабые стороны каждого антивирусного программного продукта.Рассмотрена функциональность и особенности применения победителей актуальных рейтингов антивирусного программного обеспечения.В третьей главе дипломного проекта предложен конкретный проект антивирусной системы защиты. Рассмотрены процессы внедрения антивирусной системы защиты на примере выбранной модели предприятия.Антивирусная система защиты включает программное обеспечение Kaspersky Enterprise Space Security, в качестве программных средств антивирусной защиты предлагается использовать Межсетевой экран D-Link DFL-1600. В работе оценены суммарные затраты на разработку, создание и функционирование антивирусной защиты предприятия, которыесоставили 203621 руб.Список используемых источников1. Батурин Ю.М., /Кодзишскии A.M. Компьютерные преступления и компьютерная безопасность. М.: Юридическая литература, 1991.2. Березин А.С, Петренко С.Л. Построение корпоративных защищенных виртуальных частных сетей // Конфидент. Защита Информации, 2001. № 1.С. 54-61.3. Бурков В.К, Грацинский Е.В., Дзюбко СИ. и др. Модели и механизмы управления безопасностью. М.: 2001.4. Герасименко В. А., Малюк А.А. Основы защиты информации. М.:МОПО, МИФИ, 1997.5. Гованус Г., Кинг P. MCSEWindows 2000 Проектирование безопасности сетей. Учебное руководство. М.: Изд-во «Лори», 2001.6. Гузик С Зачем проводить аудит информационных систем? //JetDfefoonline. 2000. № 10 (89).7. Информационная безопасность России в условиях глобального информационного общества. // Сб. материалов Всероссийской конференции / Под ред. Л.В. Жукова. М.: Редакция журнала «Бизнес-безопасность», 2001.8. Кобзарь М.Т., ТрубачевА.П. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России // Безопасность информационных технологий, 2000. .4° 4.9. Кошелев А. «Защита сетей и firewall» КомпьютерПресс. 2000. №7. С. 44-48.10. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М: Новый юрист, 1999.11. Липаев В.В. Стандарты на страже безопасности информационных систем // PCWEEC/RE, 2000. № 30.12. Ловцев Д.А., Сергеев Н.А. Управление безопасностью. М.: 2001.13. Мамаев М., Петренко С. Технологии зашиты информации в Интернете. СПб.: Питер, 2002.14. Минаев В.Л., Горошко И.В., Дубинин М.П. и др.: Информационные технологии управления в органах внутренних дел Под ред. профессора Минаева В.А. — М.: Академия управления МВД России, 1997.-704 с.15. Общие критерии оценки безопасности информационных технологий: Учебное пособие. Пер. с англ. яз. Е.А. Сидак Под ред. М.Т. Кобзаря, А.А. Сидака. М.:МГУЛ, 2001. 84с.16. Приходько А.Я. Информационная безопасность в событиях и фактах. М.: 2001.17. Прокушева А.П. и др. Информационные технологии в коммерческой деятельности. М.: 2001.18. Приходько А.Я. Словарь-справочник по информационной безопасности. М.: СИНТЕГ, 2001.19. Романец Ю.В. Тимофеев ПА. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и Связь, 1999.20.Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996.