www.ua5.org > Віруси та антівіруси > Антивірусні комплекси

Антивірусні комплекси


4 мая 2008.

Антивірусний комплекс - набір антивірусів, що використають однакове антивірусне ядро або ядра, призначений для рішення практичних проблем по забезпеченню антивірусної безпеки комп'ютерних систем. В антивірусний комплекс також в обов'язковому порядку входять засобу відновлення антивірусних баз.

Крім цього антивірусний комплекс додатково може містити в собі поведінкові аналізатори й ревізори змін, які зовсім не використають антивірусне ядро.

Як допоміжна утиліта антивірусний комплекс може містити (і на практиці звичайно містить) планувальник завдань.

Виходячи з поточної необхідності в засобах захисту виділяють наступні типи антивірусних комплексів:

  • Антивірусний комплекс для захисту робочих станцій
  • Антивірусний комплекс для захисту файлових серверів
  • Антивірусний комплекс для захисту поштових систем
  • Антивірусний комплекс для захисту шлюзів

Антивірусний комплекс для захисту робочих станцій

Призначений для забезпечення антивірусного захисту робочої станції, на якій він установлений. Складається, як і вказувалося раніше із засобів безперервної роботи й призначених для періодичного запуску, а також засобів відновлення антивірусних баз.

До засобів безперервної роботи ставляться:

  • Антивірусний сканер при доступі - антивірусний сканер, що здійснює перевірку файлів, до яких звертається операційна система (прямо, або опосередковано через користувача). Для прискорення процесу роботи сканера часто застосовується можливість відключення засобів евристичного аналізу
  • Антивірусний сканер локальної поштової системи - антивірусний сканер, призначений для автоматичної перевірки всієї вхідної й вихідної із системи поштової кореспонденції до одержання її користувачем/вихідним поштовим сервером. Цей тип сканерів з'явилася порівняно недавно, його розробка обумовлена тим, що більшість вірусів використає для поширення електронну пошту. Виділяють два види сканерів локальної поштової системи - що використають і не використають прив'язку до поштового клієнта. Перший тип характеризується більшим числом підтримуваних поштових протоколів, однак можливості практичного застосування звужуються ' необхідністю використати конкретний поштовий клієнт. Другий тип, навпроти, підтримує більше обмежений набір протоколів (звичайно, SMTP й POP3), однак робить це для будь-яких поштових клієнтів. Можливе використання обох типів сканерів у рамках одного антивірусного комплексу

Засоби періодичного запуску:

  • Антивірусний сканер на вимогу - антивірусний сканер, що здійснює перевірку файлів по запиті користувача або третьої програми (наприклад, планувальника)

На практиці антивірусний комплекс для робочої станції найчастіше включає ще й поведінкові блокатори, що також ставляться до засобів безперервної роботи.

Антивірусний комплекс для захисту файлових серверів

Призначений для забезпечення антивірусного захисту сервера, на якому встановлений. Вказівка на файловий сервер у назві є скоріше даниною історії, більш коректно буде звучати термін "мережний". Визначення того, наскільки має потребу в антивірусному захисті сервер, здійснюється не тільки виходячи з його призначення (є сервер файловим, поштовим, або виконує іншу функцію), а й з використовуваної на ньому платформи. Більше того, найчастіше саме платформа є визначальною характеристикою при виборі засобів захисту мережного сервера. Мова про це піде нижче.

Відмінності в складі антивірусного комплексу для файлового сервера, у порівнянні з антивірусним комплексом для робочої станції, походять із різного призначення цих типових вузлів мережі, а точніше з головного розходження: робоча станція звичайно є АРМ співробітника, тоді як сервер у якості АРМ не використається.

Виходячи із цього, антивірусний комплекс для захисту файлових серверів звичайно складається із двох яскраво виражених представників засобів безперервного роботи й періодичного запуску:

  • Антивірусного сканера при доступі - аналогічний сканеру при доступі для робочої станції
  • Антивірусного сканера на вимогу - аналогічний сканеру на вимогу для робочої станції,

а також засобу відновлення антивірусних баз.

Сканер локальної поштової системи відсутній з описаної вище причини.

Антивірусний комплекс для захисту поштових систем

Ще один казус, пов'язаний із загальноприйнятою термінологією. Безумовно, антивірусний комплекс не призначений для захисту поштової системи від поразки вірусами, його призначення - перешкоджати доставці заражених повідомлень користувачам мережі. Як уже вказувалося раніше, сьогодні одним з головних засобів доставки вірусів у локальну мережу є саме електронна пошта. Тому, при наявності в локальній мережі спеціалізованого вузла, що обробляє вхідну й вихідну з мережі поштову кореспонденцію (поштового сервера), логічно буде використати засіб централізованої перевірки всього поштового потоку на наявність вірусів. Проте, термін "для захисту поштових систем" є устояним і повсюдно застосовується при вказівці практичних реалізацій цього типу комплексів. Щоб не вводити читача в протиріччя із щодня споживаною інформацією, надалі тут також буде використатися наведене вище назва. Аналогічний коментар, з виправленням на специфіку роботи, застосуємо й до антивірусних комплексів для захисту шлюзів.

Антивірусний комплекс для захисту поштових систем, як й інші антивірусні комплекси включає антивіруси обох типів.

Засоби безперервної роботи:

  • Фільтр поштового потоку - здійснює перевірку на наявність вірусів усього прийнятого й поштового потоку, що відправляє, сервера, на якому встановлений комплекс
  • Сканер загальних папок (баз даних) - здійснює перевірку на наявність вірусів баз даних і загальних папок користувачів у режимі реального часу (у момент звертання до цих папок або баз). Може становити єдине ціле з фільтром поштового потоку залежно від реалізації технології перехоплення повідомлень/звертань до папок і передачі на перевірку

Засоби періодичного запуску:

  • Антивірусний сканер на вимогу - здійснює перевірку на наявність вірусів поштових скриньок користувачів і загальних папок у випадку використання таких на поштовому сервері. Перевірка здійснюється на вимогу адміністратора антивірусної безпеки або у фоновому режимі. Якщо перевірка виконується у фоновому режимі, сканер також ставиться до засобів періодичного запуску, оскільки нічим не відрізняється від сканера на вимогу в комплексі для робочої станції.

Також, антивірусний комплекс для захисту поштових систем обов'язково включає засіб відновлення антивірусних баз. Додатково, для зниження навантаження на сервер можуть виділятися окремі засоби для перевірки баз під час реплікацій. Такі засоби також ставляться до засобів періодичного запуску.

Антивірусний комплекс для захисту шлюзів

Антивірусний комплекс для захисту шлюзу, як треба з назви, призначений для перевірки на наявність вірусів даних, через цей шлюз переданих.

На практиці основними каналами доставки вірусів у локальну мережу є SMTP, HTTP й FTP-потоки, отже, антивірусний комплекс для захисту шлюзів переважно включає засобу безперервної роботи. Антивіруси періодичного запуску використаються рідко, переважно для захисту файлової системи сервера, на якому встановлений комплекс:

  • Сканер HTTP-потоку — призначений для перевірки даних, переданих через шлюз по протоколі HTTP
  • Сканер FTP-потоку — призначений для перевірки даних, переданих через шлюз по протоколі FTP. У випадку використання FTP over HTTP FTP-запити будуть перевірятися сканером HTTP-потоку
  • Сканер SMTP-потоку — призначений для перевірки даних, переданих через шлюз по SMTP
Природно, як й у попередніх випадках у комплекс в обов'язковому порядку входить засіб для відновлення антивірусних баз.