Что обеспечивает безопасность корпоративной сети? Трансляция сетевых адресов, межсетевые экраны и системы обнаружения вторжений оберегают вашу ЛВС и ее пользователей от внешних взломщиков, а парольная защита и правила разграничения доступа — от чрезмерного любопытства со стороны коллег, подчас принимающего форму внутреннего шпионажа.

Однако существует еще одна, менее очевидная угроза, от которой эти средства и технологии не могут защитить, — действия персонала, приводящие к проникновению внутрь вашей сети нежелательных данных со стороны. Они способны причинять вред, неся в себе вирусы или программы типа “троянский конь”, либо становясь причиной судебных исков против вашей компании, либо просто приводя к разбазариванию драгоценного рабочего времени и ресурсов.

Хорошим противоядием здесь могут послужить средства контроля информационного наполнения. В данном обзоре мы рассмотрим три различных продукта, с помощью которых можно справиться с перечисленными проблемами. Это InterScan VirusWall и eManager фирмы Trend Micro, защищающие вашу компанию от входящей и исходящей электронной почты сомнительного характера; ПО Norton AntiVirus Enterprise Solution компании Symantec, обезвреживающее вредоносные, загружаемые из сети исполняемые файлы и зараженные вирусами документы и ПО Cyber Patrol фирмы The Learning Company, позволяющее блокировать те Web-узлы, посещение которых кем-либо из сотрудников руководство вашей компании считает нежелательным.

Мы вовсе не утверждаем, что эти продукты являются единственными или лучшими решениями в своей области — информационную безопасность корпоративных сетей обеспечивает масса программных и аппаратных систем. Однако три названных решения являются наиболее типичными с точки зрения цены, производительности и функциональных возможностей, и наш обзор может послужить фундаментом для лучшего понимания назначения и принципов работы этой приобретающей все большую важность категории продуктов.

InterScan VirusWall и eManager

Антивирусный сканер InterScan VirusWall 3.3 фирмы Trend Micro предназначен для проверки трафика FTP, HTTP и SMTP, а также сообщений электронной почты и присоединенных к ним файлов. Основное внимание мы сосредоточим на его использовании для проверки входящей и исходящей электронной почты. Программа eManager той же фирмы представляет собой модуль расширения для VirusWall, позволяющий просматривать содержимое почтовых сообщений, блокировать либо задерживать нежелательные почтовые сообщения.

При отлаженной совместной работе всех компонентов InterScan — это мощное технологическое средство приведения в исполнение политики компании по надлежащему использованию электронной почты, в частности блокированию сообщений с ненормативной лексикой. Вместе с тем в качестве средства борьбы с постоянно увеличивающимся потоком нежелательной электронной почты, поступающей из Интернет, равно как и в качестве инструмента для защиты конфиденциальной корпоративной информации оно менее эффективно. InterScan функционирует подобно серверу-посреднику SMTP: забирает входящую почту с внешнего SMTP-сервера, расположенного в Интернет, сканирует ее и затем пересылает на ваш внутренний почтовый сервер. В свою очередь, тот пересылает исходящие сообщения серверу InterScan, который сканирует и их и затем отправляет на внешний сервер электронной почты. В этой схеме есть некоторые ограничения. В частности, сообщения, не выходящие за пределы корпоративной сети, никогда не пересылаются с внутреннего почтового сервера на внешний и поэтому никогда не проходят через InterScan. Полную защиту это средство тоже не обеспечит, если ваши пользователи найдут способ для обхода вашей почтовой системы. Так что, возможно, вам придется сконфигурировать межсетевые экраны таким образом, чтобы они блокировали трафик POP3 и IMAP4 и пропускали только SMTP-сообщения, прошедшие через InterScan. И наконец, поскольку InterScan поддерживает только протокол SMTP, почтовые клиенты не могут обращаться к нему непосредственно, и поэтому он не способен служить интерфейсом между вашими пользователями и почтовой системой, размещенной у внешнего поставщика услуг и служащей для передачи сообщений через Интернет.

При прохождении сообщений через сервер-посредник программа InterScan просматривает вложенные файлы на предмет наличия в них вирусов и проверяет, фигурируют ли адресат и отправитель в списках заблокированных доменных имен или почтовых адресов. Она также “заглядывает” внутрь сообщений и вложенных файлов (разархивируя их при необходимости) с целью обнаружить неуместные словосочетания, например непристойности, расистские высказывания или что-либо иное, наподобие совершенно секретного кодового названия вашего новейшего проекта. Список запрещенных слов, доменных имен и почтовых адресов поддерживается администратором сети или электронной почты.

Мы установили оба программных модуля — InterScan VirusWall и eManager — на компьютер Netfinity 5500 M20 фирмы IBM, работающий под управлением ОС Windows 2000 Server, сконфигурировав его как сервер-посредник между нашим Интернет-провайдером и почтовым сервером CommuniGate Pro фирмы Stalker, который тоже обладает некоторыми возможностями фильтрации информационного наполнения. ПО фирмы Trend Micro оказалось простым и интуитивно понятным в установке и настройке.

Нашим первым тестом стала настройка фильтра содержимого почтовых сообщений. Панель управления программы InterScan дает возможность администратору формировать списки запрещенных слов. Вводятся они вручную, в качестве разделителя используется запятая. Хорошо если вы имеете дело только с несколькими десятками слов и их синонимов, но управиться с сотнями слов будет трудновато. С точки зрения масштабирования удобнее было бы работать с отдельным текстовым файлом, который можно обновлять, а программа InterScan при внесении в него изменений автоматически импортировала бы его или же экспортировала, чтобы синхронизировать с другими серверами InterScan. В комплект ПО InterScan также входят заранее подготовленные списки непристойных выражений. При необходимости эти списки можно пополнять.

Мы посылали разнообразные сообщения через шлюз InterScan в обоих направлениях. Это были документы Microsoft Word 97, в тексте которых встречались запрещенные слова, и несколько документов, зараженных макровирусами Microsoft Word. InterScan перехватил все, блокировав их доставку и сохранив с целью представления на рассмотрение администратору. Мы убедились в том, что данная технология работает и вполне годится для блокирования оскорбительных выражений. Но защита секретов вашей организации путем обнаружения ключевых слов и фраз в сообщениях электронной почты — это совсем другое дело. Конечно, вы можете ослабить натиск “охотников за головами” и желающих сменить место работы путем поиска словосочетаний вроде “уровень зарплаты” (InterScan допускает настройку, поэтому персоналу вашего отдела кадров можно разрешить использование таких фраз), но в целом этот подход довольно неэффективен.

Аналогичный процесс используется для блокирования так называемых мусорных почтовых сообщений (spam): InterScan снабжен небольшим начальным списком самых известных источников их происхождения, а также наиболее часто используемых в них фраз и может блокировать такие сообщения. Идея в принципе хороша, но плохо работает в реальных условиях. Поскольку каждую ключевую фразу необходимо обрабатывать отдельно, поддержка списка для блокирования почтового “мусора” превращается в чрезвычайно сложную задачу. Программа InterScan может автоматически загружать из Сети и использовать поддерживаемый компанией AOL список Top Ten Spammers, но количество “мусорных” источников на самом деле исчисляется тысячами. К сожалению, InterScan не использует список Real-Time Blackhole — популярный ресурс Интернет (http://mail-abuse.org/rbl) с почтовыми и IP-адресами наиболее активных узлов, рассылающих почтовый “мусор”.

В общем и целом ПО InterScan выполняет то, что декларирует его производитель. Тем не менее мы считаем, что из-за необходимости поддерживать постоянно изменяющиеся и умножающиеся списки и отслеживать все более хитроумные способы обхода ключевых слов эффективность таких сканеров со временем будет снижаться.