Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: результаты Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.492

корпоративный вариант реализации антивирусных пакетов doctor web в научных учреждениях: результаты

а. м. терентьев,

кандидат технических наук, ведущий научный сотрудник E-mail: tam@cemi. rssi. ru Центральный экономико-математический институт РАН

В статье освещены вопросы корпоративного использования популярных отечественных антивирусных пакетов Doctor Web, описаны результаты внедрения оригинальной, разработанной и реализованной автором технологии эксплуатации этих пакетов в условиях научного учреждения. Это третья статья, посвященная оригинальной разработке корпоративного варианта антивирусных пакетов.

Ключевые слова: информационная безопасность, антивирусное средство, Доктор Веб.

В предыдущих статьях [4, 5] показана неэффективность использования стандартных предлагаемых вендором вариантов использования антивирусных пакетов Doctor Web [1] (далее — DrWeb) в научных учреждениях и сформулирована авторская концепция корпоративной поддержки этих пакетов в указанных условиях.

Специфические программные средства. Программные средства корпоративной поддержки включают в себя две группы программных компонентов. Первая из них включает ряд программных модулей, блоков и текстов, составляющих в совокупности корпоративный дистрибутив, поставляемый пользователям в виде исполняемого файла. Вторая — включает набор утилит, находящихся и исполняемых на Антивирусном файловом Windows-сервере (далее — АВ-сервер).

Утилита поддержки корпоративного сопровождения. GUI-программа tamdrw60.exe предназначена для сопровождения установки АВ-пакетов

DrWeb 6.0 как для рабочих станций, так и для серверов в составе специально созданных для конкретной организации корпоративных дистрибутивов, предназначенных для использования в локальной сети эксплуатанта. Использование программы позволяет выполнить установку и настройку пакета полностью в автоматическом режиме. Программа исполняет более 40 функций, краткое представление о которых можно получить из рис. 1.

После установки пакета программа в скрытом режиме вызывается каждый раз при обновлении АВ-средств пользователя, связываясь с АВ-серве-ром для передачи ему персонального кода пользователя, а также организует выдачу циркулярных и персональных рассылочных сообщений службы поддержки.

Программа написана на языке PowerBASIC for Windows 9.05 [3], объем исходного текста — 257 КБ (5 365 строк).

Корпоративный дистрибутив. Корпоративный дистрибутив организован в виде саморазвертываемого EXE-файла, содержащего в себе все необходимые компоненты для установки пакета DrWeb на персональный компьютер (ПК) пользователя. Корпоративный дистрибутив ориентирован на операционную систему пользователя, поэтому одновременно на АВ-сервере присутствует ряд различных дистрибутивов. В момент написания данной работы действующими являются корпоративные дистрибутивы пакетов DrWeb версий 5.0, 6.0 SSx86, 6.0 SSx64 и 6.0 для файловых Windows-серверов.

-41

I ТАМ DrWeb60 Corporate Support Program

А—, КОРПОРАТИВНАЯ ПОДДЕРЖКА Dr.Web, v. 634

\VV Эксппуатант: ЦЭМИ PAH, http ://wwwjcemijresi ли Разработчик: А.Тервнтъев 28/02-13 = 04:06:50 128

Вызов:/I /VW=600 /FS=80 /CT=DRW32S /L0

Windows: 5.1 (Service Pack 3) ПК: trenty-904

User:: txenty OS: x86 IP: 193.232.194.13

Адм. права: Да Планировщик: Активен Тип:Раб./ст.

Функция: USER\Рабочий стол

Найден: АВ-средства НЕ НАЙДЕНЫ Версия: Н/искал. Путь: Н/искал.

Проверки ПК Пройдены AVServer: Доступен

Подгот.работы Успешна

Переп. файлов Удачно

Очист. папок Удачно

Очист.ярлыков ОЧИСТКА

Download: Б/пароля Login:

Тек.Диет: 21/01-13=18:34 Quit j

About

Протокол работы

- ClrLnk Path=<G: \ PBUin\bin\ Pbedit-. exe>

- ClrLnk Nxt: <PBWin.lnk>

+ GefcLnk: <G:\Documents and Setfcings\trent.y\ Рабочий стол\PBWin.lnk>

Рис. 1. Программа корпоративной поддержки

Каждый из них включает в себя соответствующий стандартный дистрибутив пакета DrWeb и набор вспомогательных файлов, в том числе ключевой файл drweb32.key (заблокированный у вендора), файл настройки DrWeb на АВ-сервер custom. drl, файл drweb32.ini с начальными установками нужного пакета и др.

В процессе создания корпоративных дистрибутивов использована лицензионная версия программы WinRAR 3.61 с необходимыми наборами вспомогательных текстовых файлов, управляющих созданием дистрибутивов.

Упрощенная схема работы корпоративного дистрибутива была приведена в [5] (в ней программа корпоративной поддержки имеет имя tamdrw5.0.exe). Во время своей работы корпоративный дистрибутив модифицирует ряд установок и заданий для планировщика заданий, созданных оригинальным дистрибутивом. Так, например, стандартное задание планировщика на обновление с повтором каждые 30 мин отменяется и заменяется заданием в папке «Автозагрузка» либо (при

нескольких пользователях на данном ПК) заменяется заданием с триггером запуска при включении ПК для гарантированного получения обновлений даже при работе пользователей без административных прав. В атрибуты задания на обновление включаются при необходимости логин и пароль к АВ-серверу.

Корпоративный дистрибутив при своей работе на разных этапах неоднократно использует TCP/IP-соединение с АВ-сервером, поэтому перед его вызовом необходимо убедиться в наличии устойчивого соединения с Интернетом и отключить возможные блокирующие соединение или задающие вопросы программы типа ZoneAlarm или файерволов.

Технологический антивирусный сервер. Как уже было упомянуто в [5], АВ-сервер помимо операционных средств и программного комплекса Apache+Perl, реализующего web-сервер, включает в своей рабочей области ряд групп каталогов, каждая из которых составляет одну область обновления того или иного пакета DrWeb. Формирование каждой области обновления исполняется 1 раз в сутки в период, когда web-сервер отключен (23:30—00:05 MSK). Задания на реформирование областей обновления автоматически запускаются планировщиком АВ-сервера с интервалом в 10 мин. Отдельно запускается задание на подведение ежедневных итогов работы АВ-сервера с учетом работы всех пользователей при получении обновлений и информации web-сайта.

В целях уменьшения износа HDD задействована утилита организации виртуального диска сравнительно небольшого объема1, внедренная в ядро Windows 2003 с постоянной буквой виртуального логического диска. Первоначально это средство использовалось для ежесекундной записи промежуточных пакетов в составе средств сетевого мониторинга и их отображения на сайте, но впоследствии в эту область оказалось удобным перенести ряд оперативно формируемых в процессе поддержки АВ-средств файлов.

Важной является поддержка присоединенного к серверу UPS с помощью PowerChute. Бесперебойное питание выдерживает 30 мин отключения питания, после чего исполняется программное завершение работы сервера. Восстановление работы исполняется автоматически через 10 мин после восстановления питания.

1 ©Qsoft RAMDisk Enterprise, объемом 32Мб.

Предыдущая Следующая

ЕР-адрес

010.000.002.042 11 Козырев /0316

010.000.002.034 11 :Козырев2 /0316

На АВ-сервере специальная область выделена под контент Антивирусного сайта [1]. Эта область основного контента Антивирусного сайта всегда доступна всем классам пользователей. Помимо обслуживания пользователей антивирусных средств, контент имеет и другие задачи.

Корпоративные дистрибутивы и ряд вспомогательных средств размещены в области Download ограниченного доступа. Средства разграничения доступа спроектированы так, что одни и те же конфигурационные файлы разрешают/запрещают доступ к области Download web-сервера и одновременно к областям обновлений АВ-средств. Доступ 95 % пользователей института (как с внешними, так и с внутренними IP-адресами) к этим областям беспаролен.

Таким образом, для определения возможности установки пакета DrWeb достаточно с данного ПК попробовать войти в нужную область Download. При этом применено авторское расширение обычной бинарной альтернативы до «доступен» — «доступен по паролю» — «недоступен».

В целях статистики и контроля за работой пользователей web-сайт АВ-сервера (далее — АВ-сайт) содержит ряд ежедневно формируемых HTML-таблиц . Так, одна из четырех сводных таблиц показана на рис. 2. Ее содержание не нуждается в комментариях.

Помимо сводных таблиц АВ-сайт содержит ряд таблиц с детальными сведениями о пользователях. Небольшая часть одной из таких таблиц, содержащая обращения пользователей локальных вычислительных сетей Центрального экономико-математического института Российской академии наук (ЦЭМИ РАН), показана на рис. 3. Отсюда ясно, на каком ПК, с какой операционной системы (ОС), какая версия пакета и когда была установлена, когда было последнее обновление. Так, 513 означает Microsoft Windows XP SP3; y — соответствует пакету DrWeb 6.0 SSх86. В реальной HTML-форме содержится полная расшифровка всех обозначений.

Установки и обновления DrWeb для раб.станций

Данная статистика получена утилитой обработки лога программы Apache TamPSÚ 3.50 * 01.05.2012

Утилита выполнена 05.03.13 23:30'03".

Всего актуальных пользователей: 169, в т. числе: пользователей версии 5.00: 23, пользователей версии 6.0SS (х32): 125, пользователей версии 6.0SS (х64): 21,

Вчера, 05.03.2013 Март 2013

Обновл Устан Объем [Kb] Обнов. Уст. Объем [Mb]

Внутренние пользователи ЛВС ЦЭМИ Реальные IP 8 0 48094.89 28 0 163.92

Виртуал. IP 89 0 458396.33 250 1 1500.89

Бухгалтерия и кадры 3 0 23189.32 7 0 58.43

Внешние пользователи DialUp 0 0 0. 0 0 0.

Internet 6 0 36301.9 29 0 163.07

Всего 106 0 565982.44 314 1 1886.3

Рис. 2. Одна из сводных таблиц статистики АВ-сайта

Антивирусная область

ILp, Фам., Комн.

Обновление

Всего Устан. Win О/У Перс.код

05/03-13=13:41* 0219 14/05-12- 513 у/у 4F8FC487

05/09-12=09:58-

0079

23/05-12- 513

у/У

010.000.002.036

11 :Козырев!ЫЪ /0316

26/02-13=11:36-

0130

23/05-12-

z/z

010.000.005.054 11:Бекларян /0303

27/02-13=16:08- 0098 18/10-10- 512 ж/и ?dsoo7FÏ:

Рис. 3. Внутренние пользователи АВ-сервера (фрагмент таблицы)

Помимо статистических таблиц по обслуживанию пользователей на АВ-сайте присутствуют также сведения о каждой области обновления. Примером может служить фрагмент такой таблицы для DrWeb 6.0 SSx86 (рис. 4).

Ежедневное состояние всех таблиц доступно на АВ-сайте [1].

В момент выхода данной работы на АВ-сервере ЦЭМИ РАН действует 4 области обновления для различных АВ-пакетов DrWeb:

• для пакета DrWeb для р/с 5.0х86 (устаревшая версия);

• для DrWeb для Windows-серверов 6.0х86;

• для пакета DrWeb для р/с 6.0 SSх64 (только для Windows 7);

• для пакета DrWeb для р/с 6.0 SS х86 (основная область для рабочих станций с 32-битными ОС).

Утилиты поддержки корпоративного сопровождения на сервере. Утилиты сопровождения Антивирусного сервера предназначены для:

Имя файла

timestamp drutoday.vdb drwdaily.vdb dwrtoday.vdb dwntoday.vdb vrcpp.dll

• реформирования области обновления с созданием статистической HTML-формы для АВ-сайта со сведениями о текущем состоянии нужной области обновления АВ-сер-вера (утилита TamTUpw5. exe);

• обновления внутренней базы пользователей с учетом их обращений за текущий день и получения 7 отчетных HTML-форм по итогам рабочего дня (TamPSt3.exe). Статистические формы по

областям обновления (отдельно для каждой из поддерживаемых версий DrWeb), как показано на рис. 4, содержат учетную информацию о каждом рассылаемом модуле из области обновления (имя, момент образования, длина, контрольная сумма CRC32, признаки). Эта информация редко используется в практике, главным образом для проверки работы сервера.

Статистические формы по итогам рабочего дня включают:

• установки и обновления DrWeb для файловых Windows-серверов;

• установки и обновления DrWeb для рабочих станций (рис. 2);

• статистика обращений к антивирусному сайту;

• сводка обращений за прошлый месяц;

• обращения из административно-финансового сегмента сети;

• обращения пользователей ЛВС ЦЭМИ РАН (рис. 3);

• обращения DialUp и внешних пользователей;

• отказы в обращениях пользователей. Программы ведения статистики используют

самостоятельно накапливаемые базы данных в текстовом формате и протоколы работы других программ соответственно, протокол работы утилиты обновления DrwebUpw. exe пакета DrWeb и протокол Apache, сформированный в специальном пользовательском формате

LogFormat «%a%h%u%t \» %r\» %s %B» trentylog.

Формат форм определяется шаблонами. Для генерации форм используется свыше 50 определяемых и реализованных утилитами макровызовов. Программы TAMTUpW5 v. 5.15 и TAMPSt3

Статистика * Антивирусная область

Область обновления DrWeb для раб.станций 6.0 SS-32bit

Данная таблица получена утилитой оценки результатов исполнения обновления пакета Doctor Web TamTUpWS * 5.15, 21.10.2012 (С)А.Терентьев Утилита выполнена 05.03.13 23:35'42".

Длина

00000010 00147606 00025854 00018986 00045118 02931392

Дата образования

05.03.13-22:43:30* 05.03.13-22:42:58* 05.03.13-00:17:04* 05.03.13-22:42:17* 05.03.13-22:42:45* 05.03.13-20:51:09*

CRC32

085FG71S 696BBEAD 52АЕ80СЗ EEFF86CD F82DE3A5 592C8C7D

Получен

130305233601* 130305233601* 130305233601* 130305233601* 130305233601* 130305233601*

Рис. 4. Состояние одной из областей обновления (фрагмент)

v. 3.50 сформированы с помощью компилятора PowerBASIC Console Compiler 5.05, занимая объемы 69 и 97 Кбайт (1 568 и 2 170 строк соответственно).

Все три упомянутые в данной работе утилиты поддержки зарегистрированы в Федеральном институте промышленной собственности (ФИПС). Ряд дополнительных консольных утилит встроен для исполнения в рамках CGI-модулей, вызываемых средой Apache АВ-сайта.

Достигнутые результаты. Взаимосвязь с пользователями ЦЭМИ РАН ведется с учетом существующей структуры пользователей. Локальная сеть ЦЭМИ РАН включает ряд абонентов с прямыми международными адресами в нескольких сетях класса С, ряд сегментов одной из этих сетей за собственными серверами подразделений института, а также обширный сегмент сети, включающий 85 % всех пользователей с внутренними адресами (внутренние пользователи). Один из фрагментов сети («Бухгалтерия и кадры») исторически выделен самостоятельной строкой в сводных таблицах статистики.

АВ-сервер имеет два сетевых интерфейса — на внешний и внутренний сегменты сети. Все пользователи этих сегментов имеют прямой беспарольный доступ к АВ-серверу. Незначительное количество пользователей, находящихся за собственными серверами (в том числе сегмент «Бухгалтерия и кадры») или в других сетях, имеют парольный доступ.

Регулярная раздача обновлений по антивирусным пакетам DrWeb началась с сентября 2003 г. и первоначально включала только область обновления для рабочих станций. Впоследствии к ней была

Статистика удовлетворения запросов пользователей ЦЭМИ РАН

Год Обновлений Обращений к сайту

Число раз Мб Число раз Мб

2004 21 876 2 099,86 1 196 73,48

2005 25 755 1 970,82 1 808 158,69

2006 31 940 3 984,74 1 295 209,63

2007 30 984 2 397,98 1 399 340,12

2008 33 207 9 384,13 3 195 773,16

2009 24 280 10 180,87 1 944 899,28

2010 23 844 16 106,61 14 509 642,07

2011 22 199 15 877,56 37 953 831,29

2012 22 629 54 724,17 43 324 902,75

Примечание: начиная с июля 2007г в объем выполненных обращений включены также объемы скачанных дистрибутивов с антивирусного сайта.

добавлена область обновления для серверов. За все время существования АВ-сервера последовательно сменилось несколько эксплуатируемых версий пакетов DrWeb. В настоящее время заканчивается переход с версии 5.0 на 6.0 Security Space, начатый год назад.

Сводные данные о числе выполненных запросов пользователей за обращениями к антивирусным областям за все время существования АВ-сервера представлены в таблице.

Итого за 9 полных лет обслужено 236 714 запросов пользователей на обновления DrWeb, по которым пользователям предоставлено 113,99 ГБайт информации. Принимая во внимание, что количество пользователей АВ-сервера в эти годы было в пределах 130—190, экономия интернет-трафика по обращениям к АВ-средствам практически совпадает с объемами, скачанными пользователями с АВ-сервера, т. е. более 110Гб.

В приведенную статистику до сентября 2010 г. не включены необслуженные (отказанные) запросы, а также многочисленные попытки хакерских обращений к АВ-серверу. Разумеется, приведенная статистика не отражает также прочих функций АВ-сервера, например, поддержку сетевого мониторинга в реальном режиме времени и ряд других.

Основная часть контента антивирусного сервера ЦЭМИ РАН доступна для поисковых роботов. Во всех поисковых системах по запросу «антивирусный сайт» ссылка на него выдается в числе первых.

Выгоды пользователей АВ-сервера ЦЭМИ РАН. Установка и настройка корпоративных средств могут исполняться самостоятельно. Созданные корпоративные дистрибутивы осуществляют полное концептуальное окружение пользователя, выдавая ему в случае неуспеха необходимую диагностическую информацию на русском языке. В процессе

работы циркулярные сообщения антивирусной службы ЦЭМИ РАН доставляются пользователю на рабочее место автоматически. Наличие АВ-сайта увеличивает степень информированности пользователей о текущем состоянии АВ-средств, их возможностях и возникших проблемах. При сбоях и отказах Интернета АВ-сервер остается доступен, и пользователи не испытывают неудобств в получении обновлений.

Выгоды Антивирусной службы и системных администраторов ЦЭМИ РАН. Установка и настройка корпоративных средств исполняется полностью автоматически за 5—10 мин, в то время как индивидуальная настройка отнимает значительно больше времени (в некоторых версиях DrWeb более 40 мин). Наличие информационно-статистических сводок позволяет точно знать задействованное число лицензий и отслеживать персональные ситуации, в том числе переход пользователей с одной версии DrWeb на другую. Наличие АВ-сайта позволяет мгновенно установить 1Р-адрес пользователя и тип доступа к АВ-средствам. Присутствие шестнадцатиричного идентификационного кода позволяет осуществить однозначную идентификацию перенесенного на другое рабочее место ПК, что в условиях независимой работы научных подразделений института иногда бывает незаменимо. Этот же код позволяет установить факт несанкционированного выноса ноутбуков за пределы института.

Выгоды администрации ЦЭМИ РАН. Свободный доступ к таблицам статистики позволяет легко установить действующее число лицензий, а также распределенность установленных АВ-средств по отделениям института. Поскольку получение корпоративных АВ-средств связано с включением ПК, легко установить последнее включение ПК того или иного пользователя на рабочем месте.

Выгоды вендора ООО «Доктор Веб». Реально используемое число лицензий можно в любой момент проконтролировать по статистическим таблицам АВ-сайта. Использование в корпоративном варианте пользователями заблокированных у вендора ключей блокирует возможность выноса ключевого файла за пределы эксплуатанта и использование его на сторонних ПК.

Видимые недостатки корпоративного варианта. Доступ к обновлениям АВ-средств невозможен в течение 35 мин в день с 23:30 до 00:05 MSK. Однократное ежедневное обновление АВ-средств на АВ-сервере фактически заставляет пользователей эксплуатировать АВ-средства с антивирусными базами, отстающими от поставляемых вендором (обновления от серверов вендора меняются каждый час).

Степень новизны описанного решения и его тиражируемость. Автору к моменту публикации данной работы неизвестны аналоги описанных программно-технических средств корпоративной поддержки установки и сопровождения антивирусных пакетов DrWeb помимо формата Enterprise Suite, оговоренного при анализе проблемы в первой статье серии [2].

Предоставленные средства сравнительно легко могут быть тиражированы для использования в других организациях. Необходимые технические средства для этого гораздо меньше, чем требующиеся при установке разработанных вендором корпоративных средств на основе пакета Enterprise Suite.

При тиражировании отнюдь не является обязательным полное воспроизведение всех функцио-

нальных особенностей корпоративной поддержки. Минимальными требованиями являются наличие областей раздачи обновлений через Apache на файловом Windows-сервере и использование утилит автора поддержки этих областей. Весь web-ин-терфейс не является обязательным и может быть произвольным: формат статистических таблиц во многом определяется эксплуатантом.

Все созданные утилиты спроектированы с поддержкой выделенных текстовых конфигурационных файлов, что позволяет их быстро перенастраивать на нужные объекты информационного пространства сервера. Все утилиты являются консольными 32-битными приложениями.

Список литературы

1. Интернет-ресурс «Антивирусный сайт ЦЭМИ РАН». URL: http://av. cemi. rssi. ru.

2. Интернет-ресурс «DrWeb — инновационные технологии антивирусной безопасности». URL: http://www. drweb. com/?lng=ru.

3. Интернет-ресурс PowerBASIC: Basic Compilers. URL: http://www. powerbasic. com.

4. ТерентъевА.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: предпосылки // Национальные интересы: приоритеты и безопасность. 2013. № 17 (206).

5. Терентъев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: реализация // Национальные интересы: приоритеты и безопасность. 2013. № 19 (208).

ИЗДАТЕЛЬСКИЕ УСЛУГИ

Издательский дом «ФИНАНСЫ и КРЕДИТ» выпускает специализированные финансово-экономические и бухгалтерские журналы, а также оказывает услуги по изданию монографий, деловой и учебной литературы.

Тел./факс (495) 721-8575 e-mail: post@fin-izdat.ru