Jednym z najprostszych sposobów uniknięcia przestojów sieci i pracujących w nich komputerów, powodowanych aktami wandalizmu, jest stosowanie oprogramowania antywirusowego. Powinno ono chronić zarówno przed złośliwymi wirusami, jak i starającymi się działać niepostrzeżenie końmi trojańskimi, których zadaniem jest podglądanie działań użytkowników i umożliwienie dostępu do ich danych.

Wielu firmom stosującym rozbudowane systemy zabezpieczeń, wykorzystujące np. technologię firewall, wydaje się, że stosowanie w ich przypadku oprogramowania antywirusowego nie jest uzasadnione i tylko powoduje dodatkowe koszty. Często firmy pozornie się ratują, instalując oprogramowanie antywirusowe wyłącznie na serwerze poczty elektronicznej. W takim przypadku poczucie bezpieczeństwa jest bardzo mylące. Wirusy mogą bowiem rozprzestrzeniać się na wiele sposobów, żerując na niewiedzy użytkowników. Dlatego ochrona antywirusowa powinna być traktowana kompleksowo, co gwarantowałoby nie tylko wykrycie próby infekcji wirusowej, ale także zapobiegało epidemii.

Ochrona antywirusowa może być traktowana jako oddzielne zagadnienie lub jeden z elementów polityki bezpieczeństwa firmy. Bez względu na sposób podejścia do tematu ochrona antywirusowa wymaga wcześniejszej analizy, która wskaże, jakie elementy sieci powinny być chronione i jaka ochrona jest im w rzeczywistości potrzebna.

Identyfikacja zagrożeń

Podstawą, umożliwiającą podjęcie decyzji o tym, jakie rozwiązania antywirusowe należy wdrożyć w danej firmie, jest identyfikacja miejsc w systemie informatycznym, które z natury sprzyjają rozprzestrzenianiu się epidemii wirusowych. Ich poprawna identyfikacja i idąca za nią ochrona umożliwią tłumienie w zalążku wszelkich prób działania wirusów, co znacznie ograniczy ich wpływ na funkcjonowanie systemu informatycznego.

Najlepszymi "roznosicielami" wirusów są serwery, które chociaż często same nie uruchamiają aplikacji i nie korzystają z dokumentów (a więc nie są najczęściej ofiarami wirusów), to stają się ich punktem dystrybucyjnym, gdyż są wykorzystywane jako magazyny dokumentów tworzonych przez użytkowników sieci, a także same uczestniczą niekiedy w procesie replikacji danych z innymi serwerami. Równorzędnie w tym przypadku należy traktować zarówno serwery plików, jak i serwery poczty elektronicznej, proxy czy firewall. Wszystkie pośredniczą w procesie komunikacji między stacją roboczą użytkownika a mniejszą lub większą siecią i potencjalnie mają największe możliwości rozprzestrzeniania infekcji. Administrator powinien spisać wszystkie serwery pracujące w sieci, uwzględniając w raporcie pracujące na nich systemy operacyjne i zainstalowane na serwerach aplikacje świadczące usługi użytkownikom (razem z numerem ich wersji). Raport będący podstawą do wyboru oprogramowania antywirusowego powinien również uwzględniać wszystkie stacje robocze pracujące w sieci wraz ze spisem zainstalowanych na nich systemów operacyjnych.

Jeden czy dwa pakiety

Jeszcze do niedawna obowiązywała wykładnia, że firma chcąca dobrze zabezpieczyć się przed atakami wirusów, powinna zakupić dwie różne aplikacje antywirusowe. Trzeba było zwrócić szczególną uwagę na to, by aplikacje te nie były oparte na tym samym mechanizmie detekcji wirusów, lecz odrębnych mechanizmach pochodzących od niezależnych producentów.

Kryteria wyboru dwóch konkretnych rozwiązań były jasne. Jeden pakiet powinien być rozwiązaniem dostępnym globalnie, drugi - rozwiązaniem antywirusowym, opracowanym na rynku lokalnym. Stosowanie takiego duetu pakietów dawało potencjalnie większą szansę na wykrycie wirusów. Pakiet rozwijany lokalnie umożliwiał wykrycie wirusów lokalnych, powstających w danym kraju. Pakiet globalny zwykle lepiej zabezpieczał przed wirusami z całego świata.

Podejście do problemu walki z wirusami znacznie się zmieniło w ciągu ostatnich dwóch lat. Spowodowała to zarówno rosnąca popularność Internetu, jak i konsolidacja producentów oprogramowania antywirusowego, którzy wciąż się łączą w większe firmy, a co za tym idzie - integrują własne mechanizmy antywirusowe. Popularyzacja Internetu spowodowała, że nowo tworzone wirusy zatraciły już cechę lokalności. Obecnie szybciej się one rozprzestrzeniają bez względu na granice i szybciej też są opracowywane przeciwdziałające im szczepionki, praktycznie przez wszystkich liczących się producentów. Konsolidacja producentów spowodowała zaś, że na rynku pozostało zaledwie kilku liczących się graczy, którzy konkurują ze sobą nie tylko ceną produktu, ale przede wszystkim liczbą dostępnych w ofercie narzędzi antywirusowych oraz częstotliwością aktualizacji baz oprogramowania antywirusowego.

Popularność Internetu spowodowała również, że znacznie powiększyła się liczba miejsc, w których może pracować oprogramowanie antywirusowe. Oprócz instalowania go na stacjach roboczych i serwerach plików, wskazana jest również ochrona za pomocą firewalli, serwerów poczty elektronicznej czy FTP itp. To wszystko powoduje, że staje się istotne jeszcze jedno nowe kryterium - integracja wszystkich rozwiązań wirusowych, tak by udostępniały one administratorom jeden interfejs zarządzania i mogły się ze sobą komunikować, by np. informować o zagrożeniach wirusowych lub współdzielić definicje baz wirusów.

Wybór pakietu

Najważniejszymi obecnie kryteriami wyboru oprogramowania antywirusowego są: częstotliwość dostarczania aktualizacji bazy definicji wirusów i szczepionek dla nich, szybkość reagowania producenta w sytuacjach krytycznych (np. gdy pojawia się nowy, szybko rozprzestrzeniający się wirus), a także możliwość zdalnego scentralizowanego zarządzania oprogramowaniem antywirusowym, instalowanym w różnych miejscach sieci.

Producenci pakietów antywirusowych dostarczają już aktualizacje nie co miesiąc, ale raz na dwa tygodnie lub nawet co tydzień (np. Central Command, producent oprogramowania AVP). Wyposażają również aplikacje w możliwości heurystyczne, dzięki którym pakiet jest zdolny odizolować kod aplikacji podejrzany o zawieranie nowego, nieznanego wirusa, a następnie wysłać go za pośrednictwem Internetu do analizy do centrum antywirusowego danego producenta. W przypadku potwierdzenia podejrzeń w ciągu kilku lub kilkunastu godzin (w zależności od producenta) jest przygotowywana szczepionka, która zostaje wysłana do klienta, gdzie po raz pierwszy wykryto wirusa.

Jeszcze kilka lat temu oprogramowanie antywirusowe było dostarczane bez jakichkolwiek możliwości zdalnego zarządzania. Obecnie to kryterium wyboru jest bardzo istotne. Administrator musi mieć możliwość zdalnego zainstalowania oprogramowania na stacjach roboczych i serwerach, modyfikowania jego konfiguracji i rozsyłania aktualizacji. Co więcej - coraz ważniejszym kryterium jest możliwość zablokowania oprogramowania przed modyfikacją ustawień przez nie autoryzowanych użytkowników. Często bowiem się zdarza, że osoba korzystająca z komputera, chcąc zaoszczędzić na czasie, przerywa pracę oprogramowania antywirusowego w czasie trwania skanowania dysków pod kątem występowania wirusów. Działanie takie może prowadzić do poważnego naruszenia bezpieczeństwa.

Wiele aplikacji antywirusowych umożliwia wykonywanie aktualizacji za pośrednictwem Internetu. W takim przypadku warto zwrócić uwagę na to, czy oprogramowanie dopuszcza modyfikację miejsca, do którego będzie sięgać po aktualizację. Nie jest bowiem wskazane, aby użytkownicy oprogramowania antywirusowego każdorazowo i indywidualnie ściągali aktualizacje przez Internet. Powoduje to nadmierne obciążenie łącza internetowego zbędnym ruchem (te same pliki są wielokrotnie pobierane przez różnych użytkowników). Znacznie lepszym rozwiązaniem jest zainstalowanie w firmie lokalnego serwera aktualizacyjnego, który jednorazowo pobiera nowe wersje baz antywirusowych z serwera producenta i z niego następnie te same bazy pobierają wszystkie serwery i stacje robocze pracujące w sieci. Rozwiązanie takie ma jeszcze jedną istotną zaletę - aktualizacje są przeprowadzane znacznie szybciej, gdyż są realizowane w sieci lokalnej.

Istotnym kryterium wyboru rozwiązania jest również jego wieloplatformowość. Ze względu na ułatwione zarządzanie lepiej jest zdecydować się na zakup takiego pakietu, który jest dostępny dla wszystkich platform systemowych, wykorzystywanych w firmie.

Antywirus na serwerze

Inne wymagania są stawiane oprogramowaniu antywirusowemu, pracującemu na stacjach roboczych, a inne temu, które działa na serwerze. Pakiet antywirusowy, pracujący na serwerze plików, powinien mieć dobry mechanizm wyszukiwania heurystycznego. O ile bowiem na stacjach roboczych funkcjonalność taka jest dosyć uciążliwa (np. pakiet może sygnalizować podejrzenie o istnieniu wirusa nawet wtedy, gdy kod programu bądź dokumentu jest całkowicie "zdrowy"), o tyle w przypadku serwerów należy dmuchać na zimne. Lepiej, by administrator był częściej informowany o potencjalnych problemach niż by wirus objawił się w sposób niewykrywalny.

Oprogramowanie antywirusowe pracujące na serwerze powinno mieć także rozbudowane mechanizmy logowania zdarzeń (najlepiej do standardowego logu systemu operacyjnego lub też do scentralizowanego logu, jeśli stosowana jest aplikacja centralizująca zarządzanie pakietami antywirusowymi) i alarmowania. Najlepiej, by alarmy były generowane w standardowy dla danej sieci sposób (np. komunikaty alarmowe do grupy administratorów w systemach NetWare i Windows NT) oraz opcjonalnie w standardzie SNMP - co pozwoliłoby je zbierać i analizować z poziomu systemów zarządzania sieciami, takich jak IBM Tivoli, HP OpenView czy CA Unicenter.

Podobnie jak w przypadku pakietów pracujących na stacjach roboczych, oprogramowanie serwerowe powinno skanować pliki w momencie ich odczytu i zapisu. Dzięki temu możliwe jest powstrzymanie infekcji zawsze wtedy, gdy wirus niespodziewanie trafi na dysk twardy serwera pomiędzy pełnymi, przeprowadzanymi okresowo skanowaniami antywirusowymi.

Ochrona poczty

Ochronę antywirusową przesyłanej korespondencji elektronicznej można zrealizować na dwa sposoby. Pierwszy to zainstalowanie w firmie nowego serwera pocztowego, który będzie pośredniczyć w komunikacji między dotychczas stosowanym serwerem pocztowym a Internetem, skanując całą korespondencję przesyłaną w obie strony. Rozwiązanie to ma tę zaletę, że nie obciąża dodatkowo podstawowego serwera pocztowego. Niemniej ma również wady, gdyż przede wszystkim wymaga instalacji na nowym serwerze (nie może pracować na standardowym serwerze pocztowym, gdyż korzysta z takich samych portów TCP, jak serwer poczty). Ponadto wadą tego rozwiązania jest to, że przy zastosowaniu takich serwerów pocztowych, jak Microsoft Exchange, Lotus Notes czy Novell GroupWise, nie umożliwia skanowania korespondencji przesyłanej w ramach firmy (nie wysyłanej do lub nie przychodzącej z Internetu), a także skanowania antywirusowego współdzielonych folderów pocztowych na serwerach, bibliotek dokumentów itp.

Pełną ochronę daje zastosowanie oprogramowania antywirusowego, pracującego bezpośrednio na serwerze pocztowym i w pełni zintegrowanego z oprogramowaniem serwera pocztowego. Zazwyczaj łączy się ono bezpośrednio z komponentem pakietu komunikacyjnego odpowiedzialnym za przesyłanie wiadomości pocztowych, dzięki czemu może skanować każdy przesyłany list bez względu na to, czy jest to komunikacja wewnątrzfirmowa, czy internetowa. Oprogramowanie takie powinno zapewniać zarówno możliwość skanowania aktualnie przesyłanej korespondencji (w czasie rzeczywistym), jak i okresowego skanowania wszystkich skrzynek użytkowników, współdzielonych folderów i bibliotek dokumentów znajdujących się na serwerze.

Aplikacja instalowana na serwerze pocztowym powinna skanować wszystkie wskazane załączniki przesyłane pocztą elektroniczną, włącznie ze skanowaniem spakowanych archiwów (np. ZIP, RAR, ARJ itp.). Należy pamiętać, że aplikacja antywirusowa nie jest cudotwórcą i nie przeskanuje archiwów, które np. są zabezpieczone hasłem.

Ochrona firewalli

Serwery firewall zabezpieczają przed nie autoryzowanym ingerowaniem w sieć korporacyjną. Standardowo nie oferują jednak możliwości skanowania danych przesyłanych po dozwolonych portach TCP pod kątem występowania wirusów. Funkcjonalność tę mogą zapewnić dedykowane produkty antywirusowe zintegrowane z zaporami ogniowymi.

Aplikacje te umożliwiają zazwyczaj monitorowanie transmisji na najczęściej wykorzystywanych portach: 80 (HTTP), 21 (FTP) i 25 (SMTP). Dzięki temu użytkownik korzystający z przeglądarki internetowej wewnątrz sieci korporacyjnej nie ma możliwości pobrać za jej pośrednictwem wirusa ukrytego np. w dokumencie pobieranym z serwera WWW.

Podobnie jak oprogramowanie pracujące na serwerze pocztowym, pakiet antywirusowy przeznaczony dla firewalla powinien umożliwiać wyszukiwanie wirusów w archiwach typu ZIP, RAR i ARJ. Ponadto powinien mieć możliwość blokowania apletów Javy i komponentów ActiveX, zapobiegając ich przesyłaniu do stacji użytkownika.

Krytycznym elementem przy wyborze rozwiązania antywirusowego dla serwera firewall jest jego przepustowość. Wymaga się bowiem, by nadmiernie nie opóźniało ono komunikacji. O ile opóźnienie takie nie jest krytyczne w przypadku poczty elektronicznej, o tyle przy przeglądaniu stron internetowych może być uciążliwe.