Организация антивирусной защиты на предприятии АО "Новокуйбышевский НПЗ"

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Заочного обучения

Направление (специальность) Информатика и вычислительная техника

Кафедра Программного обеспечения и управления в технических системах

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

(БАКАЛАВРСКАЯ РАБОТА)

Организация антивирусной защиты на предприятии АО «Новокуйбышевский НПЗ»

Утверждаю зав. кафедрой д.т.н., проф. В.Н. Тарасов

Руководитель доцент к.ф.-м.н., доцент М.А. Вержаковская

Н. контролер ст. преп. С.В. Чернова

Разработал ИВТ-35П А.Н. Ивков

Самара 2017



Задание

по подготовке выпускной квалификационной работы

Утверждена приказом по университету от 25.11.2016 № 291-2

2 Срок сдачи студентом законченной ВКР 03.02.17

3 Исходные данные и постановка задачи

1) Состояние антивирусной защиты предприятия, наиболее распространённые вирусы в корпоративной сети

2) Изучить виды и классификации, методы распространения компьютерных вирусов, а также выявление и методы борьбы с вирусами

3) Произвести тестирование и сравнительный анализ корпоративных антивирусов и выбрать наиболее подходящий для предприятия АО «Новокуйбышевский НПЗ»

4) Исследовать решение по модернизации антивирусной защиты на предприятие АО «Новокуи?бышевскии? НПЗ»

5) Произвести опытно-промышленное тестирование механизма миграции с действующего антивируса McAfee на антивирус Касперского

6) Рассмотреть преимущества и недостатки при переходе на антивирус Касперского

4 Перечень подлежащих разработке в ВКР вопросов или краткое содержание ВКР. Сроки исполнения 31.01.2017

1) Компьютерный вирус

2) Выбор корпоративного антивирусного программного обеспечения

3) Проблема заражения вирусом корпоративной сети и её локальное решение на АО «Новокуйбышевский НПЗ»

4) Тестирование механизма миграции на АО «Новокуйбышевский НПЗ»

5 Перечень графического материала. Сроки исполнения 01.02.2017

1) Сравнение характеристик антивируса

2) Тестирование антивирусов в реальной среде

3) Фрагмент процедуры осуществления миграции

4) Презентационный материал

6 Дата выдачи задания « 28 » ноября 2016 г.

Кафедра Программного обеспечения и управления в технических системах

Утверждаю зав. кафедрой д.т.н., проф. 28.11.16 В.Н. Тарасов

Руководитель доцент к.ф.-м.н., доцент 28.11.16 М.А. Вержаковская

Задание принял к исполнению ИВТ-11-ДО 28.11.16 А.Н.Ивков



Отзыв руководителя

Тип ВКР Бакалаврская работа

Студента(ки) Ивкова Александра Николаевича

Специальность/направление Информатика и вычислительная техника

Тема ВКР Организация антивирусной защиты на предприятии АО «Новокуйбышевский НПЗ»

Руководитель Вержаковская Марина Александровна

Ученая степень, звание К.ф.-м.н., доцент

Место работы

(должность) Кафедра программного обеспечения и управления в технических системах ПГУТИ, доцент

АКТУАЛЬНОСТЬ ТЕМЫ

Дипломная работа Ивкова А.Н. посвящена организации антивирусной защиты на предприятии АО «Новокуи?бышевскии? НПЗ»

На крупных предприятиях риск заражения вирусом представляет большую угрозу информационной сети, поскольку вирус заразивший один компьютер может быстро распространиться на все компьютеры и сервера находящиеся в сети.

ОЦЕНКА СОДЕРЖАНИЯ РАБОТЫ

(Структура, логика и стиль изложения представленного материала. глубина и степень проработки материала, обоснованность изложенных выводов, использование математического аппарата, использование средств вычислительной техники, макетирование, моделирование, экспериментирование)

В дипломной работе Ивкова А.Н. полно и грамотно описаны следующие разделы: сравнение антивирусного программного обеспечения различных вендоров, развёртывание Kaspersky Security Center, настройка Kaspersky Security Center, миграция на антивирус Kaspersky Endpoint Security.

При исследовании антивирусных продуктов были составлены диаграммы и таблицы в которых визуально видны преимущества и недостатки разных производителей антивирусных продуктов.

В качестве программных средств администрирования антивирусной защитой был выбран продукт Kaspersky Security Center.

Дипломная работа состоит из Введения, Основной части и Заключения.

Во Введении приводится обоснование актуальности рассматриваемой темы, и ставятся задачи, возлагаемые на модернизированную антивирусную защиту.

Основная часть диплома состоит из 4 глав:

В первой главе производится описание классификаций и видов вирусов, способы их распространения, выявление и методы борьбы с ними.

Вторая глава посвящена выбору корпоративного антивирусного программного обеспечения, в которой производиться сравнение преимуществ и недостатков программных продуктов антивирусной защиты и выбор наиболее надежного и эффективного.

В третьей главе описывается план проведения мероприятий по опытной-промышленным испытаниям, описание организации, для которой выполнялись исследования, постановка задачи и требования, предъявляемые к информационной безопасности.

В четвертой главе представлено тестирование механизма миграции, развертывание и настройка центра администрирование Kaspersky Security Center, полученные преимущества и недостатки при построение антивирусной защиты на антивирусе Касперского.

В Заключении представлены основные результаты и выводы работы.

СТЕПЕНЬ ДОСТИЖЕНИЯ ЦЕЛИ И ПРАКТИЧЕСКАЯ ЗНАЧИМОСТЬ

(Полнота раскрытия исследуемой темы, практическая ценность и возможность внедрения)

Данное исследование позволяет рассмотреть целесообразность модернизации текущего антивируса McAfee на антивирус другого вендора, который позволит построить эффективную защиту предприятия.

Результаты бакалаврской работы Ивкова Александра Николаевича «Организация антивирусной защиты на предприятии АО «Новокуи?бышевскии? НПЗ» рекомендованы к внедрения на предприятии АО «Новокуйбышевский НПЗ» и ожидают стадии внедрения.

ЗАКЛЮЧЕНИЯ ПО ПРЕДСТАВЛЕННОЙ РАБОТЕ

(Степень самостоятельной работы студента; совокупная оценка труда студента и его квалификация)

При выполнении бакалаврской работы Ивков А.Н. проявил себя с самой положительной стороны: был пунктуальным, старательным и ответственным студентом, способным самостоятельно решать поставленные перед ним задачи и вовремя предоставлять результаты каждого этапа исследования. В ходе выполнения работы продемонстрирован достаточный уровень знаний и специальной подготовки в профессиональной области.

Дипломная работа заслуживает оценки «отлично», а сам Ивков Алекскандр Николаевич - присвоения квалификации бакалавра по направлению «Информатика и вычислительная техника».

Руководитель ВКР М.А. Вержаковская



Реферат

Название Организация антивирусной защиты на предприятии АО «Новокуи?бышевскии? НПЗ»

Автор Ивков Александр Николаевич

Научный руководитель Вержаковская Марина Александровна

Ключевые слова антивирус, Kaspersky, McAfee, Dr,Web, ESET NOD32, вирус, безопасность информационных сетей

Дата публикации 2017

Библиографическое описание

Ивков, А.Н. Организация антивирусной защиты на предприятии АО «Новокуи?бышевскии? НПЗ» [Текст]: бакалаврская работа/ А. Н. Ивков. Поволжский государственный университет телекоммуникаций и информатики (ПГУТИ). Факультет заочного обеспечения(ФЗО). Программное обеспечение и управление в технических системах (ПОУТС): науч. рук. М.А. Вержаковская-Самара. 2017.- 69 с.

Аннотация

Бакалаврская работа заключается в организации антивирусной защиты предприятия АО «Новокуйбышевский НПЗ», путем модернизации существующей. Также производится выбор антивирусного программного обеспечения, удовлетворяющего требованиям предприятия.

Руководитель ВКР М.А.Вержаковская



Содержание

Введение

1. Компьютерные вирусы и организация информационной безопасности

1.1 Классификация и виды вирусов

1.2 Методы распространения вирусов

1.3 Выявление и методы борьбы с вирусами

2. Выбор корпоративного антивирусного программного обеспечения

2.1 Антивирус компании Dr.Web

2.2 Антивирус компании ESET NOD 32

2.3 Антивирус компании McAfee

2.4 Антивирус Лаборатории Касперского

2.5 Сравнение антивирусного программного обеспечения различных вендоров

3. Проблема заражения вирусом корпоративной сети и её локальное решение на АО «Новокуйбышевский НПЗ»

3.1 АО «Новокуйбышевский НПЗ»

3.2 Описание действий

3.3 Сбор данных для миграции

4. Тестирование механизма миграции на АО «Новокуйбышевский НПЗ»

4.1 Развёртывание Kaspersky Security Center

4.2 Настройка Kaspersky Security Center

4.3 Миграция на антивирус Kaspersky Endpoint Security

4.4 Преимущества и недостатки при переходе на антивирус Касперского

4.5 Оценка экономической эффективности

Заключение

Список использованных источников

Приложения



Введение

В наши дни риск заражения компьютерных сетей существует для всех компаний без исключения, но особую угрозу он представляет для сетей больших компаний с разветвлённой инфраструктурой, поскольку вирус, попавший на один компьютер может быстро распространиться на все компьютеры и сервера, находящиеся в сети, что хуже если он попадёт в промышленные сети, что может привести к фатальным последствиям.

Отсутствие или недостатки в работе антивирусной защиты на предприятии могут стать причиной утечки конфиденциальной информации, вывода из строя сервера, повреждения важных данных, сбой систем мониторинга и т.п. негативным последствиям, что влечёт за собой сбои рабочих процессов, а соответственно и масштабные финансовые потери.

Актуальность темы исследования заключается в необходимости построения надёжной системы антивирусной защиты на предприятии АО «Новокуйбышевский НПЗ», так как к существующей системе антивирусной защиты имеются недостатки. В результате несовершенства антивирусной защиты в информационную сеть АО «Новокуйбышевский НПЗ» существует вероятность проникновения вируса, который может повлечь за собой простой в работе и финансовые убытки для компании.

Объектом исследования в данной работе является антивирусное программное обеспечение в корпоративном сегменте.

Предметом исследования является построение надёжной антивирусной защиты на предприятии АО «Новокуйбышевский НПЗ» на базе антивирусных программных продуктов.

В рамках выпускной квалификационной работы была поставлена цель - организация антивирусной защиты на предприятии АО «Новокуи?бышевскии? НПЗ».

Для достижения данной цели были поставлены следующие задачи:

Изучить виды и классификации, методы распространения компьютерных вирусов, а также выявление и методы борьбы с вирусами.

Произвести тестирование и сравнительный анализ корпоративных антивирусов и выбрать наиболее подходящий для предприятия АО «Новокуйбышевский НПЗ».

Исследовать решение по модернизации антивирусной защиты на предприятие АО «Новокуи?бышевскии? НПЗ».

Произвести опытно-промышленное тестирование механизма миграции с действующего антивируса McAfee на антивирус Касперского.

Рассмотреть преимущества и недостатки при переходе на антивирус Касперского. компьютерный вирус касперский корпоративный

Необходимо отметить, что существует ряд работ как зарубежных, так и российских авторов, в которых исследуются информационные базы работ по исследуемой проблеме, в частности рассматриваются возможные варианты

построение защищённых корпоративных сетей, борьбе с вирусами, организации информационной защиты и др. Существенный вклад в исследование данных вопросов внесли такие учёные и специалисты, как Ачилов Рашид, Сердюк Виктор, Башлы Петр и др.

Во Введении приводится обоснование актуальности рассматриваемой темы, и ставятся задачи, возлагаемые на модернизированную антивирусную защиту.

Основная часть диплома состоит из 4 глав:

В первой главе производится описание классификаций и видов вирусов, способы их распространения, выявление и методы борьбы с ними.

Вторая глава посвящена выбору корпоративного антивирусного программного обеспечения, в которой производиться сравнение преимуществ и недостатков программных продуктов антивирусной защиты и выбор наиболее надежного и эффективного.

В третьей главе описывается план проведения мероприятий по опытной-промышленным испытаниям, описание организации, для которой выполнялись исследования, постановка задачи и требования, предъявляемые к информационной безопасности.

В четвертой главе представлено тестирование механизма миграции, развертывание и настройка центра администрирование Kaspersky Security Center, полученные преимущества и недостатки при построение антивирусной защиты на антивирусе Касперского.

В Заключении представлены основные результаты и выводы работы.



1. Компьютерные вирусы и организация информационной безопасности

Компьютерный вирус -- вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

В большинстве случаев, целью вируса является нарушение работы программно-аппаратных комплексов: удаление или шифрование файлов, приведение в негодность структур размещения данных, блокирование работы пользователей или же приведение в негодность аппаратных комплексов компьютера и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют некоторые другие системные ресурсы.

1.1 Классификация и виды вирусов

В данное время существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

по поражаемым объектам (файловые вирусы, загрузочные вирусы, сценарные вирусы, макровирусы, вирусы, поражающие исходный код);

файловые вирусы делят по механизму заражения: паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом.

по поражаемым операционным системам и платформам (DOS, Windows, Unix, Linux, Android);

по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);

по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, сценарный язык и др.);

по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

По среде обитания различают файловые, загрузочные, макро- и сетевые вирусы.

Файловые вирусы -- наиболее распространенный тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (companion-вирусы) или используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя в загрузочный сектор диска или в сектор системного загрузчика жесткого диска. Начинают работу при загрузке компьютера и обычно становятся резидентными.

Макровирусы заражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроенных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Microsoft Office.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение.

На практике существуют разнообразные сочетания вирусов -- например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.

Как правило, каждый вирус заражает файлы одной или нескольких ОС. Многие загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. По особенностям алгоритма выделяют резидентные; вирусы, стелс-вирусы, полиморфные и др. Резидентные вирусы способны оставлять свои копии в ОП, перехватывать обработку событий (например, обращение к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов или секторов). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки ОС, даже если на диске уничтожены все зараженные файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке ОС, то даже форматирование диска при наличии в памяти этого вируса его не удаляет.

К разновидности резидентных вирусов следует отнести также макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.

Стелс-алгоритмы позволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространённым стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат эти объекты, либо подставляют вместо себя незараженные участки информации. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа -- в его переменных или в Auto-text.

Полиморфность (само шифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы -- это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.

По способу заражения различают троянские программы, утилиты скрытого администрирования, Intended-вирусы и т. д.

Троянские программы получили свое название по аналогии с троянским конем. Назначение этих программ -- имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.

Разновидностью троянских программ являются утилиты скрытого администрирования. По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами -- производителями программных продуктов. При инсталляции эти утилиты самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, перезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, уничтожения данных.

К Intended-вирусам относятся программы, которые не способны размножаться из-за существующих в них ошибок. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.

По деструктивным возможностям вирусы разделяются на:

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическим и звуковыми эффектами;

опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;

очень опасные, в алгоритм которых специально заложены процедуры уничтожения данных и возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок чтения/записи некоторых НЖМД [1, с. 8-27].

1.2 Методы распространения вирусов

Вирусы распространяются, копируя своё тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды.

Вирусы распространяются через такие каналы, как:

Дискеты. Самый распространённый канал заражения в 1980--1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.

Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу -- большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.

Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности, являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.

Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

Интернет и локальные сети. Черви -- вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости -- это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак [3, c. 107].

1.3 Выявление и методы борьбы с вирусами

Для борьбы с вирусами существуют программы, которые можно разбить на основные группы: мониторы, детекторы, доктора, ревизоры и вакцины.

Программы-мониторы (программы-фильтры) располагаются резидентно в ОП компьютера, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций.

Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Недостаток -- возможность защиты только от известных вирусов.

Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.

Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояние загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.

Программы-вакцины модифицируют программы и риски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зараженными [1, с. 28].



2. Выбор корпоративного антивирусного программного обеспечения

Для изучения и тестирования были отобраны следующие наиболее распространённые на рынке антивирусные продукты:

Dr. Web

ESET NOD 32

McAfee

Kaspersky

На рис. 2.1 представлена диаграмма наиболее распространённых на рынке антивирусных продуктов по версии РБК.research.

Рис. 2.1 - Диаграмма наиболее распространённых антивирусных продуктов

2.1 Антивирус компании Dr.Web

История разработки антивируса Игоря Данилова начинается с 1991 года, а под маркой Dr.Web антивирусы разрабатываются и распространяются с 1994 года.

На рис. 2.2 представлен логотип компании Dr. Web.

Рис. 2.2 - Логотип компании Dr.Web

Dr.Web Enterprise Security Suite - это комплекс продуктов Dr.Web, включающий в себя элементы защиты всех узлов корпоративной сети и единый центр управления для большинства из них. Имеется предварительно сконфигурированная СУДБ, что очень удобно для небольших организаций. Управление и сбор статистики производится при помощи локализованных консоли управления или веб-интерфейса. Последний появился в версии 5.0 и сделан с учетом возможной работы неподготовленного пользователя, что позволяет развернуть антивирусную защиту без особых навыков.

Наличие в списке системных требований, устаревших версий ОС часто является решающим аргументом в пользу выбора Dr.Web организациями, где таких систем много, а апгрейд нежелателен или невозможен. Соответственно, невысоки и системные требования, необходимые для работы агента Dr.Web на компьютерах пользователей.

Продукт Dr.Web -- это единое решение, включающее сервер и агент. Серверная часть состоит из антивирусного сервера, консоли администратора и SQL сервера. В сети можно развернуть несколько серверов, объединенных в иерархическую структуру и взаимодействующих между собой. Управление осуществляется из единой консоли (локальной или веб), куда также выводится информация о состоянии агентов.

Установка возможна на Windows XP и старше, Linux, FreeBSD и Solaris. В качестве СУБД подключается встроенная IntDB база данных или MS SQL Server CE, Oracle (либо любая другая через ODBC), в Linux поддерживается PostgreSQL.

Веб-интерфейс в базовых операциях заметно удобнее консоли, особенно для сбора данных о состоянии агентов.

2.2 Антивирус компании ESET NOD 32

ESET NOD32 (рус. Эсет Нод) -- антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года.

Большая часть кода антивируса написана на языке ассемблера, поэтому для него характерно малое использование системных ресурсов и высокая скорость проверки с настройками по умолчанию.

На рис. 2.3 представлен логотип компании ESET NOD 32.

Рис. 2.3 - Логотип компании ESET NOD 32



ESET NOD32 Smart Security Business Edition включает в себя клиентский компонент ESET Endpoint Security, обеспечивающую комплексную защиту рабочих станций в организации, и ESET Remote Administrator, предназначенную для централизованного управления всеми защищаемыми компьютерами.

Компания ESET старается совершенствовать корпоративную и пользовательскую версии продуктов безопасности более-менее синхронно, в результате клиентская часть данного решения практически не отличается от обычного ESET NOD32. В ESET Remote Administrator пользовательский интерфейс минималистичен, все необходимые компоненты вынесены на панель инструментов. Так же имеется большой набор сервисов (модулей), которые позволяют расширить обзор статистики обнаруженных угроз и управление защитой.

Установку клиента ESET Endpoint Security можно осуществить одним из четырех способов: удаленной установки; установки при помощи групповых политик, по email, локально.

ESET NOD32 Smart Security Business Edition данный продукт подходит для внедрения в разветвленные организации, для обеспечения универсальности поддерживает несколько способов удаленной установки клиентских модулей, различные хранилища данных (Microsoft SQL Server, MySQL, Oracle), каскадное объединение серверов ERAS. В запасе ESET также имеются антивирусы для файловых, интернет и почтовых-серверов на самых различных платформах (Windows, Solaris, FreeBSD, Linux, NetBSD, Netware). Все данные компоненты могут регулироваться с помощью тех же административных инструментов.

2.3 Антивирус компании McAfee

McAfee, Incorporated (рус. Макафи) -- подразделение американской компании Intel Security, разработчик антивирусного программного обеспечения под маркой McAfee.

Основана в 1987 году под именем её основателя Джона Мамкафи. Штаб-квартира в Санта-Кларе (штат Калифорния). Согласно исследованиям, OPSWAT за октябрь 2014 год, McAfee входит в пятёрку крупнейших производителей антивирусов, на его долю приходится 5,7 % мирового рынка.

На рис. 2.4 представлен логотип компании McAfee.

Рис.2.4 - Логотип компании McAfee

McAfee - компания была инициатором многих подвижек в антивирусной индустрии, в частности одной из первых предложила онлайновые услуги, и сейчас в ее арсенале есть целый ряд хостинговых решений. Рассмотрим продукты продукт McAfee VirusScan Enterprise.

Данный продукт не ориентирован на малый бизнес, особенно в отечественном понимании. Дело в том, что единым управляющим центром McAfee является приложение ePolicy Orchestrator, инсталлируемое исключительно на серверную платформу Microsoft. Зато ePolicy Orchestrator изначально предназначен для управления всем арсеналом корпоративного ПО McAfee независимо от платформ последнего, и с его помощью можно организовать разветвленные структуры практически любой сложности.

Итак, ePolicy Orchestrator представляет собой серверный компонент системы, управляемый исключительно через веб-интерфейс, который, впрочем, достаточно функционален и не вызывает больших сложностей в освоении.

В ePolicy Orchestrator достаточно удачно организован репозиторий ПО, который можно легко пополнять вручную или автоматически с сайтов McAfee либо специальных внутренних (в случае разветвленной инфраструктуры). Управление клиентским ПО также устроено довольно прозрачно: от подключения специальных «расширений», описывающих возможности настройки, до активизации готовых политик, представляющих наборы этих самых настроек. Стоит также отметить полноценную интеграцию с AD, и, возможно, даже неплохо, что она (т. е. импорт внутренних структур каталога) выполняется не автоматически, а лишь по запросу администратора.

Инструмент составления отчетов, содержит беспрецедентное количество шаблонов разнообразнейших графиков и диаграмм. Последние, кстати, используются и на главном экране ePolicy Orchestrator, позволяя быстро оценить ситуацию в целом. Контроль состояния клиентов и синхронизация выполняются по достаточно гибкому расписанию, даже с возможностью случайного распределения процессов во времени для обеспечения равномерной нагрузки на сервер и сеть.

Развертывание клиентов также не вызывает затруднений и возможно всеми традиционными способами, вроде push-метода или скриптов входа в Windows. Однако осуществляется процедура в два этапа: сначала на рабочие станции требуется инсталлировать специальные агенты, которые выполняют ряд вспомогательных задач и при необходимости могут выступать посредниками для машин, не имеющих прямого соединения с сервером, а лишь затем - собственно VirusScan Enterprise.

2.4 Антивирус Лаборатории Касперского

Антивирус Касперского (англ. Kaspersky Antivirus, KAV) -- антивирусное программное обеспечение, разрабатываемое Лабораторией Касперского. Первоначально, в начале 1990-х, именовался -V, затем -- AntiViral Toolkit Pro.

На рис. 2.5 представлен логотип компании Касперского.

Рис 2.5 - Логотип Антивируса Лаборатории Касперского

Продукт «Лаборатории Касперского» является компонентом комплексных решений линейки Kaspersky Total Space Security, так же в данную линейку входят антивирусы для Linux, почтовых и файловых серверов, а также смартфонов и планшетов.

Универсальным управляющим компонентом для Kaspersky Total Space Security является Kaspersky Administration Kit - обладает консолью в виде оснастки для MMC. С первых же минут знакомства становится понятно, что разработчики постарались сделать этот продукт одинаково пригодным для организаций любого размера. В частности, для небольших компаний очень уместно выглядит наличие предварительно сконфигурированной СУБД и специального мастера, помогающего произвести первичную настройку.

Развертывание антивируса на рабочих местах выполняется push-методом с помощью специального агента, который и обеспечивает все коммуникации с сервером. Управление клиентами осуществляется на основе административных политик, отражающих все настройки антивирусных модулей, причем любая из них может быть сделана принудительной - в этом случае ее локальное изменение не позволяется. Кроме того, для каждого компонента допускается определение нескольких политик, применяемых при возникновении таких ситуаций, как, скажем, обнаружении вируса. Следует также отметить, что Kaspersky Administration Kit изначально знаком практически со всеми компонентами Kaspersky Total Space Security (т. е. содержит специфичные для них инструменты управления и шаблоны политик), за исключением Kaspersky Mobile Security Enterprise Edition - для него необходимо устанавливать специальный дополнительный модуль.

В целом управление всей антивирусной системой вполне интуитивно и возможно даже без обращения к документации. Тем не менее администратору придется освоить некоторые особенности.

Архитектура административных компонентов Kaspersky Total Space Security также позволяет организовать глобальную защиту в самых сложных инфраструктурах. Серверы могут объединяться в каскад для распределения нагрузки, отдельные клиенты - выполнять роль агентов обновления для своих групп, а интеграция с Active Directory обеспечивает управление на уровне стандартных организационных структур, так же возможно создавать правила для групп пользователей, для блокировки доступа к CD\DVD, USB носителей. Кроме того, на сервере ведутся достаточно подробные протоколирование и сбор статистики, имеются готовые инструменты аудита и даже ряд настраиваемых шаблонов для построения графических отчетов.

2.5 Сравнение антивирусного программного обеспечения различных вендоров

В рамках данного проекта было произведено тестирование работы антивирусов в реальной среде, на рабочей станции соответствующей минимальным требованиям ПК компании Роснефть: Операционная система: Windows 7, Процессор (CPU): 2 ядра, Оперативная память (RAM): 2 GB.

Исследовались следующие параметры антивирусов:

- Удобство интерфейса;

- Скорость осуществления полной проверки на вирусы;

- Занимаемое пространство в ОЗУ;

- Влияние на загрузку ОС;

- Влияние на операцию копирование/перемещение файлов;

- Влияние на операцию сжатие/разархивирование файлов.

Антивирусные продукты показали следующие результаты, которые представлены в табл. 2.1

Таблица 2.1 - Сравнение характеристик антивирусов

	Dr.Web	NOD32	McAfee	Kaspersky
Удобство интерфейса	***	*****	***	*****
Функциональность центра управления
Удаленная установка/удаление клиента	Да	Да	Да	Да
Удаленная установка/удаление стороннего ПО	Нет	Да	Нет	Да
Управление лицензиями	Да	Да	Да	Да
Получение обновлений	Да	Да	Да	Да
Получение отчетов активности/состояния защиты/обновлениях/информации о версии ОС/установленного ПО/Аппаратном обеспечении	Да/Да/ Да/Да/ Нет/Да	Да/Да/Да/Да/Да/Да	Да/Да/ Да/Да/ Нет/Нет	Да/Да/Да/Да/Да/Нет
Удаленное администрирование	Нет	Нет	Нет	Да
Контроль защиты	Да	Да	Да	Да
Удаленное сканирование	Да	Да	Да	Да
Влияние на загрузку ОС	19%	12%	2%	0%
Влияние на операцию копирование/перемещение файлов	6%	8%	14%	15%
Влияние на операцию сжатие/разархивирование файлов	12%	9%	25%	6%
Занимаемое пространство в ОЗУ при стандартной нагрузке(Мб)	99,7	81,7	86,6	56,8
Время полного сканирование /кол-во файлов	01:43:25/ 366730	00:30:28/ 153958	01:53:15/ 150858	00:21:52/ 157174

На рис. 2.6 отображены результаты влияния антивируса на быстродействие системы.



Рис 2.6. - Диаграмма влияния антивируса на быстродействие системы

По результатам независимых экспертиз: MRG Effitas, AV-Test, PCMag - были получены следующие результаты касательно эффективности защитного механизма антивируса:

В тестах на блокировку вредоносного ПО Kaspersky обнаружил 89 процентов вредоносных образцов и получил 8,8 баллов, NOD32 обнаружил 81 процентов вредоносных образцов и получил 7.3 баллов, McAfee 83% процентов вредоносных образцов и получил 8.3.

В тестах на результат лечения активного заражения, после которого работоспособность системы не нарушена - Kaspersky вылечил 100 процентов; McAfee 11 процентов; Dr.Web вылечил 67 процентов, NOD32 вылечил 33 процентов.

На рис. 2.7 отображены результаты лечения активного заражения.



Рис. 2.7 - Диаграмма результатов теста на лечение активного заражения

В тестах на динамическое тестирование антивирусов Kaspersky 100 процентов - Все угрозы обнаружены при первом выполнении / система не заражена; NOD32 98,8 - Все угрозы обнаружены и обезврежены / система восстановлена до или во время первой перезагрузки, выполненной пользователем; McAfee - 96,3 - не смог обнаружить все угрозы и устранить заражение в системе во время тестирования.

На рис. 2.8 отображены результаты тестирования на блокирование зараженных образцов или пропуск.

Рис. 2.8 - Диаграмма блокирования заражённых образцов или пропуск

Среди продуктов, которые продемонстрировали минимальное воздействие на системную производительности, только два антивируса обеспечивают максимальную защиту - это решения от Kaspersky Lab, ESET. Но у антивируса ESET это достигается за счёт более низкого качества защиты, это видно из тестов. Данные продукты подтвердили, что для обеспечения эффективной защиты не обязательно нужны ёмкие ресурсы, которые снижают системное быстродействие.

Таким образом, согласно полученным данным в ходе исследования, можно назвать продукт Kaspersky Endpoint Security лидирующим и удовлетворяющий требованиям импортозамещения, так как он обладает:

Наиболее развитым центром управления, который позволяет не только производить удалённую установку антивируса, но и стороннего ПО, а также производить деинсталляцию любого ПО; собирает статистику об установленном ПО;

Показал наилучшее время полного сканирования системы, результат составил 21 минуту 52 секунды на 157174 проверенных объекта;

В «простое» данный продукт занимал 56,8мб ОЗУ;

Не оказывал никакого влияния на время загрузки ОС;

Замедление операции копирования/перемещения файлов составляет 15%;

Замедление операции сжатие/разархивирование файлов составляет 6%;

Мощный анти-спам;

Возможность формирования отчётов о программно-аппаратном обеспечении.



3. Проблема заражения вирусом корпоративной сети и её локальное решение на АО «Новокуйбышевский НПЗ»

В настоящее время перед компанией Роснефть, в рамках программы импортозамещения, возникает вопрос о замене существующего антивирусного программного обеспечения. Требованиями являются: надёжная защита информационной сети и сетевых ресурсов, центр администрирования с широким набором технических возможностей, удобный инструмент миграции с одного антивируса на другой, импортозамещение антивирусного ПО.

В связи с этим, в 2016 году, на АО «Новокуйбышевский НПЗ», проводилось опытно-промышленное испытание антивирусных продуктов как отечественного, так и иностранного происхождения, лидирующих на рынке. Рассмотрение результатов тестирования и ознакомление с интерфейсами антивирусных ПО способствует дальнейшей реализации технически обоснованного решения по построению более совершенной системы антивирусной защиты предприятия.

3.1 АО «Новокуйбышевский НПЗ»

АО «Новокуйбышевский НПЗ» расположен в Самарской области, в городе Новокуйбышевск и входит в состав Самарской группы нефтеперерабатывающих заводов, приобретенной ПАО «НК «Роснефть» в мае 2007 г.

Новокуйбышевский НПЗ был введён в эксплуатацию в 1951 г. Именно на этом заводе впервые в стране был освоен выпуск многих видов продукции: топлива для реактивных двигателей, масел для ракетоносителей и легковых автомобилей и др. На протяжении всего времени завод прошёл несколько этапов реконструкции и происходит постоянная модернизация оборудования и установок, в результате последней был освоен выпуск новых видов продукции: дизельное топливо, отвечающее европейским стандартам качества, дорожные битумы нового поколения.

На сегодняшний день мощность НПЗ составляет 8,8 млн тонн в год по первичной переработке нефти, также предприятие занимает лидирующие позиции по переработке нефти. Завод перерабатывает Оренбургскую нефть, Западносибирскую нефть, а также нефть, добываемую Компанией в Самарской области («Самаранефтегаз»). Вторичные перерабатывающие мощности завода включают установки каталитического крекинга, замедленного коксования, каталитического риформинга, изомеризации, гидроочистки керосина и дизельного топлива, битумную и газофракционирующую установки. Территория завода составляет более 850 гектаров. Так же на территории Новокуйбышеского НПЗ находится завод масел и присадок НЗМП.

На каждой установке, в каждой лаборатории, а также в административных зданиях находятся компьютеры, которые сгруппированы в информационную сеть, также имеется промышленная сеть, в которую подключены приборы КИПиА, благодаря этой сети обеспечивается контроль техпроцессов и управление работой установок, документооборот, сбор данных и технической информации и для обеспечения бесперебойной и безопасной работы необходима антивирусная защита предприятия.

3.2 Описание действий

Для проведения опытно-промышленного испытания на объекте АО «Новокуйбышевский НПЗ» необходимо было составить четкий план проведения мероприятий.

На первом этапе требовалось провести тестирование корпоративных антивирусных продуктов от лидирующих вендоров, по результатам которого должен был остаться один продукт антивирусной защиты удовлетворяющий всем требованиям компании. В данное тестирование принималось во внимание не только ряд тестов, проведенных на самом объекте, но и тестирование независимых экспертных агентств, специализирующихся на данных исследованиях.

На втором этапе требовалось произвести опытно промышленные исследование механизма миграции в реальных условиях, для сбора данных о возможных проблемах, с которыми возможно придется столкнуть при масштабной миграции, нюансах развертываниях новой системы антивирусной защиты и совместимости с используемым на данный момент программным обеспечением, для этого было необходимо согласовать проведение работ со службой заказчика.

На третьем этапе планировалось развернуть сервер администрирования антивирусом, настроить политики безопасности и задачи. Составить список рабочих станций, на которых будет производится тестирование нового антивируса. Далее произвести развертывание нового антивируса на АРМ сотрудников, участвующих в тестировании и в течении месяца наблюдать за их работой.

На четвертом этапе необходимо было собрать отчеты, сформированные центром администрирования антивирусом, произвести путем рассылки по корпоративной почте опроса об удовлетворённости работы нового антивируса, по результатам обработать полученные данные. Далее произвести запрос поставщику услуг на предоставление стоимости лицензии на 1000 рабочих станций и произвести анализ экономической выгоды от перехода на новый антивирус.

3.3 Сбор данных для миграции

В целях отработки технологии развёртывания антивируса, выявления возникновения трудностей во время миграции, а также выявления несовместимости с используемым в данный момент программным обеспечением, необходимо было испытать в реальных условиях механизм миграции с существующего на предприятии антивируса McAfee на Kaspersky Endpoint Security на рабочих станциях сотрудников АО «Новокуйбышевский НПЗ».

Для формирования списка рабочих станций, на которых будет произведена миграция, необходимо было выбрать цех на территории АО «Новокуйбышевский НПЗ», согласовать проведение работ по тестированию механизма миграции со службой заказчика (СЗИТ) и службой безопасности, для получения разрешения на проведения данного типа работ.

В результате после составления служебных записок и отправки их в компетентные службы, был получен ответ, что тестирование антивируса Касперского непосредственном на рабочих станциях НК НПЗ невозможно, в связи с высокими рисками для завода, так как использование антивируса Касперского не согласованно с компанией и в случае заражения вирусом будут плохие последствия. Было рекомендовано провести тестирование механизма миграции на рабочих станциях сотрудников «РН-Информ», так как данные АРМ расположены в отдельном сегменте сети и находятся в одном здании. Далее с начальником управления ИТ-Инфраструктуры был сформирован список пользователь на чьи рабочие станции в дальнейшем будет установлен антивирус Касперского и согласовано с руководителями подразделений. Был составлен список, содержавший в себе имя рабочей станции и его ip-адрес. Пользователи были оповещены рассылкой по почте, о проведение на их рабочих станциях тестирования нового антивирусного продукта и в случае возникновения каких-либо неполадок обращались непосредственно ко мне для выявления и устранения возникшей проблемы.

С помощью System Center Configuration Manager, была произведена инвентаризация аппаратных компонентов, для разделения рабочих станций по производительности.



4. Тестирование механизма миграции на АО «Новокуйбышевский НПЗ»

Из всех рассмотренных в данном проекте корпоративных антивирусов, лидером тестов стал продукт лаборатории Касперского.

Для развёртывания антивируса Касперского на рабочие станции необходимо было получить ключ лицензии для рабочих станций, для этого мной был сделан запрос в Лабораторию Касперского на предоставление временной лицензии, в результате был предоставлен ключ на 20 рабочих станций сроком на 30 дней.

4.1 Развёртывание Kaspersky Security Center

Системны требования для сервера администрирования:

Процессор с частотой 1 ГГц или выше. При работе с 64-разрядной операционной системой минимальная частота процессора - 1.4 ГГц;

Оперативная память: 4 ГБ;

Объем свободного места на диске: 10 ГБ. При использовании функциональности Системное администрирование объем свободного места на диске должен быть не менее 100 ГБ;

Операционная система Windows 7 и старше, либо Windows Server 2008 SP1 и старше.

Для установки Kaspersky Security Center 10 на сервер администрирования необходимо выполнить следующие действия:

Для корректной работы необходимо отключить штатный Firewall;

Запускаем установку Kaspersky Security Center 10.

На рис. 4.1 отображён интерфейс, который позволяет выбрать компоненты программы Kaspersky Security Center, которые будут установлены. Выбираем пункт «Установить Kaspersky Security Center 10» для развертывания центра администрирования;

Рис. 4.1 - Диалоговое окно выбора компонентов установки

“Тип установки” выбираем - выборочная.

На рис. 4.2 отображено диалоговое окно выбора типа установки, для более тонкой настройки выбираем пункт - выборочная.

Рис. 4.2 Диалоговое окно выбора типа установки

Выбираем установку Сервера Администрирования.

На рис. 4.3 отображено окно выбора компонентов программы, так как нас интересуют только рабочие станции, убираем галочку с поддержки мобильных устройств.

Рис. 4.3 Диалоговое окно выбора компонента программы

На шаге выбора размера сети, выбираем необходимый размер.

На рис. 4.4 отображено диалоговое окно выбора размера сети, для оптимизации работы центра администрирования.



Рис. 4.4 Диалоговое окно выбора размера сети

Настройка учётной записи для запуска Сервера Администрирования;

На рис. 4.5 отображено диалоговое окно настройки учётной записи для запуска службы сервера администрирования. По умолчанию инсталлятор создаёт новую учётную запись локального типа, либо подгрузить учётную запись из Active Directory.



Рис. 4.5 Диалоговое окно настройки учетной записи

На шаге выбора Сервера базы данных, выбираем Microsoft SQL Server;

На рис. 4.6 отображено диалоговое окно выбора типа сервера базы данных.



Рис. 4.6 Диалоговое окно выбора типа сервера базы данных

На вкладке параметры подключения, так как у нас установка производится с нуля, выбираем пункт - «Установить Microsoft SQL Server».

На рис. 4.7 отображено окно выбора параметров подключения к базе данных, либо создания новой.



Рис. 4.7 Диалоговое окно выбора параметров подключения к базе данных

Режим аутентификации - Microsoft Windows.

На рис. 4.8 отображено диалоговое окно выбора режима аутентификации для подключения к базе данных.



Рис. 4.8 Диалоговое окно выбора режима аутентификации

Настройка параметров подключения к серверу администрирования.

На рис. 4.9 отображено диалоговое окно настройки параметров подключения агентов администрирования, для шифрованных соединений используется порт 13000 (SSL), второй порт используется только если администратор отключит шифрование соединений.



Рис. 4.9 Диалоговое окно настройки параметров подключения к KSC

Выбор адреса сервера администрирования.

На рис. 4.10 отображено диалоговое окно выбора адреса сервера администрирования.

Рис. 4.10 Диалоговое окно выбора адреса сервера администрирования



4.2 Настройка Kaspersky Security Center

При первичном старте Kaspersky Security Center, запускается первоначальный мастер настройки. В нём мы выбираем способ активации, в нашем случае - «Указать файл ключа». Далее мастер настройки предлагает согласиться с положением о KSN (Kaspersky Security Network - это такая сеть, которая позволяет получать информацию о всех новых угрозах, ее отличие от обычных обновлений в том, что данная информация обновляется в режиме реального времени, а не раз в час). После создания стандартных политик и задач, мастер установки предлагает настроить proxy-server, если доступ в интернет предоставляется через прокси-сервер. После настройки прокси-сервера начинается загрузка обновлений в хранилище, для обеспечения возможности обновления рабочих станций, а также загружается информация для поиска уязвимостей.