「コンピュータウイルス」とは
何かという質問への回答方法の記事で、この概念の進化について検討しました。 今回は、階層化されたウイルス対策保護を構築するオプションを検討します。
記事ではあなたが
見つけられないことに注意してください:
- 市場にある既存のソリューションと「最高のウイルス対策製品を見つける」という目標との比較。 マーケティング担当者はこのような比較に成功しており、そのような「研究」を見つけることは難しくありません。
- すべての脅威に対して100%(または99.999 ...%)の保護を提供する特定のソフトウェア製品の構成方法に関する指示。
明らかに、包括的な保護の構築には、ウイルス対策ソフトウェアのインストールだけでなく、次のような実装も必要です。 定期的に、いくつかのイベント:
- ポリシー、指示、規制の開発と更新(インシデントへの対応、アクセス権の配布、パスワード要件など、そのような「紙のセキュリティ」に誰が関係していても、これは重要であり、必須のコンポーネントです)。
- ユーザートレーニング;
- パッチ管理。
- 情報のバックアップ。
- 追加システムの実装(IPS / IDS、脆弱性スキャナー、DNSトラフィックフィルターサービスなど)
- 独立した請負業者を集めて監査/ペンテストを実施することができます。
広範にジャンプしないように、これらの質問を次回に残して、階層化されたウイルス対策保護の構築に焦点を当てましょう。
エンタープライズネットワークの簡略図を検討してください。 原則として、ユーザーワークステーション、内部サービス用サーバー(AD、ファイルサーバー、プリントサーバー、ERPなど)および外部との通信を提供するサーバー(メール、プロキシ、FTPなど)が含まれます。 。)。 図では、BYODなどの現象を考慮する必要があります。
どんなパラメーターを見ているのか
ウイルス対策ソリューションを選択する場合、すべての製品に単一の管理コンソールを用意し、すべてのノードからステータスを監視して統計を収集し、データベースの更新やその他のコンポーネントのステータスを配布および監視することが必須であると考えています。
さらに、コストに加えて、次のパラメーターに注意することをお勧めします。
- エンタープライズで使用されるプラットフォームのカバレッジ(OSバージョンのタイプとバージョン、ハードウェア)。
- 主なタスクのパフォーマンスへの影響。
- 検出品質(組織の事業領域とその国を考慮に入れる);
- 治療の質(このパラメーターはしばしば忘れられます);
- できれば母国語での資格のある技術サポートを利用できます。
- 証明書の可用性-関連する要件が存在する場合。
リストされたパラメーターを注意深く調べると、選択がより複雑になっていることが明確になります。WinXPは急いで撤退することはなく、同時にメーカーはサポートを拒否しています。世界市場のリーダーでさえ、「ショー」のために一部のプラットフォームをサポートできますWin7では、すべてのLinux / Unixディストリビューションが製品、モバイルプラットフォームまたは仮想化システム用の製品の特別なバージョンをインストールできるわけではありません)、ウイルス対策の多くの比較があり、多くの場合検出基準によってのみですが、 比較の正確さと、あなたの状況における結果の適用性は、疑問を提起するかもしれません。
1つのアンチウイルスソリューション
ライセンスのコスト、スタッフのトレーニング、管理コンソールへのリソースの割り当てなどの客観的な指標によると、1つのアンチウイルスソリューションの所有は、通常安価になります。 しかし、これは感染がない場合に当てはまり、結果の大きさを事前に評価することはほとんど不可能です。
新しい悪意のあるコードに感染した場合、その分布をローカライズすることは事実上不可能であることに注意してください。サポートサービスとvirlabは、ソースを特定し、結果に対処するのに役立ちます。
レイヤードアンチウイルスソリューション
アンチウイルス保護システムの管理のシンプルさと所有コストを犠牲にして、複数のメーカーのソリューションを含む階層化されたアンチウイルス保護を使用することが提案されている場合、アプローチを検討および評価することをお勧めします。
コンピューター、サーバー、その他のデバイスは、主な用途に応じてクラスに分類する必要があります。 上記のエンタープライズスキームの場合、これらは次のようになります。
- 外部との通信を提供するサーバー。
- 内部サービスを提供するサーバー。
- ユーザーワークステーション(ここではBYODを使用します)。
クラスに分割するとき、夢中になってはいけません。4つ以上のソリューションを同時にサポートすると、使用する各システムの知識が少なくなる可能性があります。
同じクラスのデバイス間でのデータ(ファイル)の直接交換は禁止され、技術的な手段によって制限されるべきです。 この場合、次のデバイスで使用される前に、保護されたシステムへのエントリポイントからのデータ(ファイル)は、2つのアンチウイルスによってスキャンされます。
- インターネット-[メール/プロキシサーバー上のウイルス対策]-[ワークステーション上のウイルス対策];
- 感染したリムーバブルメディア-[AWPのウイルス対策]-[サーバーのウイルス対策]-[AWPのウイルス対策];
- 感染したリムーバブルメディア-[AWPのウイルス対策]-[メール/プロキシサーバーのウイルス対策];
- など
当然、これは感染に対する100%の保証を与えるものではありませんが、流行のリスクを減らし、感染をタイムリーに特定および検出するのに役立ちます。
特定のクラスのデバイス用のウイルス対策ソリューションを選択する場合、これは企業全体より明らかに小さいため、使用するプラットフォームのサポートの基準に応じたソリューションの選択は簡素化されます。
クラス
「外の世界と通信を提供するサーバー」では、他のクラスとは異なり、治療機能は実質的に無関係であり、検出が特に高いという事実に特に注意を払いたいと思い
ます 。
あまりにも遠いですか
それは理にかなった質問です-所有コストの潜在的な増加を考慮して、なぜ複雑化し、理論化し、クラスを考え出し、いくつかのウイルス対策ソリューションを実装するのですか?
所定のまたは同様のスキームに従っていくつかのアンチウイルスソリューションを使用する慣行に直面し、原則として、記事に記載されているのと同じ考慮事項によって正当化されます。
UPD 1
(正確なリンクについては
muonに感謝します)
指標M4.7(p。28
STO BR IBBS-1.2-2014 )
RF BS組織は、さまざまな製造元のアンチウイルス保護ツールを次の目的で使用できるようにする、段階的な集中型アンチウイルス保護システムを編成していますか。
- ワークステーション;
- 電子メールサーバーを含むサーバーハードウェア。
- ファイアウォールハードウェア?