Возможные схемы защиты. Выбор средств защиты почтовой системы опирается на выяснение двух ключевых факторов: Схема построения почтовой системы организации Определение схемы работы
Выбор средств защиты почтовой системы опирается на выяснение двух ключевых факторов:
- Схема построения почтовой системы организации
- Определение схемы работы антивирусного комплекса
Возможно несколько схем работы почтовой системы, оказывающих влияние на построение подсистемы защиты почты. В общем случае организация может использовать либо не использовать средство групповой работы (Microsoft Exchange либо Lotus Notes/Domino), использовать либо не использовать релейный сервер (в Интернет выставляется не основной почтовый сервер организации, а дополнительный сервер, осуществляющий трансляционные функции между Интернет и внутренним почтовым сервером), почта может быть разделена на внешнюю и внутреннюю с различными схемами маршрутизации (выделяется два сервера либо один и тот же сервер обслуживает два различных домена). Дополнительные варианты налагает использование в сети двухсегментной структуры с жестким разделением между сегментами.
Наиболее часто задаваемым вопросом в этом случае является следующий: "Если в сети используется два и более почтовых серверов с выделенным релейным сервером, достаточно ли будет установить антивирусный комплекс на релейный сервер?"
Рассмотрим возможные последствия такого подхода. Действительно, установка антивирусного комплекса на релейный сервер поможет избежать проникновения вирусов во внутреннюю сеть организации. Более того, в большинстве случаев такой вариант поможет предотвратить утечку информации вовне при поражении одного из узлов вирусом, рассылающим свои копии электронной почтой. Крайне важно не выпустить такую рассылку за пределы организации - некоторые вирусы для введения пользователей в заблуждение прикрепляют к зараженному письму документы с зараженного компьютера. Это может привести к утечке конфиденциальной информации.
Вместе с тем, при наличии внутренних почтовых серверов без установленного антивирусного комплекса, поражение аналогичным червем одного из узлов сети приведет к возникновению рассылки в том числе и через внутренние почтовые сервера. Если на внутреннем почтовом сервере не будет установлен антивирусный комплекс, ящики пользователей будут переполнены зараженными письмами, что негативно скажется на функционировании сети. Если по каким-то причинам на некоторых узлах сети временно отключена постоянная проверка файловой системы и почты, эти узлы подвергаются дополнительному риску заражения, что в свою очередь еще сильнее увеличит нагрузку на внутреннюю почтовую систему - работая в автоматическом режиме червь способен рассылать десятки копий в минуту.
Поэтому, установка антивирусного комплекса только на релейный сервер не является достаточной для обеспечения антивирусной безопасности организации. Необходимо организовать проверку почтового потока таким образом, чтобы все сообщения, доставляемые пользователям, проходили как минимум однократную, а в случае доставки сообщений извне - двукратную и даже трехкратную проверку на наличие вирусов. Требование к проверке внешней корреспонденции обусловлено доминированием почтового потока в качестве средства доставки вирусов во внутреннюю сеть. Исходя из этих предпосылок и необходимо определять состав подсистемы защиты почты.
Вторым немаловажным фактором является схема работы самого антивирусного комплекса. Здесь возможны два варианта - антивирусный комплекс интегрируется с почтовой системой либо же встраивается в существующую систему в разрыв. Как правило, используется первый вариант, второй имеет смысл использовать либо если невозможно найти антивирусный комплекс, который интегрировался бы с почтовой системой (такое бывает, например, при использовании почтовой системы собственной разработки), либо при введении дополнительного релейного сервера между шлюзом и внутренним почтовым сервером для проверки всего поступающего из Интернет SMTP-потока.
Наиболее плохим, но тем не менее также используемым вариантом сегодня остается установка антивирусного комплекса для файлового сервера на сервер почтовый. В этом случае некоторые зараженные письма будут обнаружены, однако подобная практика вызывает множество конфликтов в работе обеих систем. Дополнительно необходимо помнить о том, что вложения в письма закодированы при помощи MIME, а также могут быть заархивированы. Сегодня немногие антивирусные комплексы для защиты рабочих станций и файловых серверов предоставляют такой функционал. Это связано с тем, что проверка архивов и закодированных сообщений существенно увеличивает нагрузку на сервер/рабочую станцию.
Дата добавления: 2015-06-12; просмотров: 736;