INFORMACJA O PRODUKCIE

Sophos Anti-Virus

Aktywna ochrona antywirusowa dla sieci i komputer≤w wolnostoj╣cych

We wsp≤│czesnych systemach informatycznych wirusy trafiaj╣ do komputer≤w na wiele r≤┐nych sposob≤w: poprzez wymianΩ dyskietek, pocztΩ elektroniczn╣ (wewnΩtrzn╣ - firmow╣ lub internetow╣), £ci╣gane oprogramowanie, dokumenty Wordowe z Internetu, czy korzystanie z do│╣czanych do czasopism komputerowych CD-ROM'ow. Kluczem do skutecznej ochrony antywirusowej jest jak najlepsza wykrywalno£µ i dzia│anie w czasie rzeczywistym (aktywna ochrona antywirusowa) oraz skuteczne, centralne zarz╣dzanie i aktualizacja oprogramowania antywirusowego. System Sophos Anti-Virus spe│nia wszystkie te wymogi. By│ od podstaw projektowany w taki spos≤b by sprostaµ wymaganiom ochrony antywirusowej zar≤wno w du┐ych, wieloserwerowych sieciach komputerowych jak i komputerach wolnostoj╣cych. Stanowi zintegrowane rozwi╣zanie zachowuj╣ce pe│n╣ funkcjonalno£µ tak┐e w £rodowisku sieci miΩdzyplatformowych. Dzia│a w spos≤b automatyczny i przezroczysty dla ko±cowego u┐ytkownika.

Elementy sk│adowe systemu Sophos Anti-Virus
W sk│ad systemu Sophos Anti-Virus wchodz╣ dwa podstawowe komponenty:

• InterCheck - modu│ zapewniaj╣cy aktywn╣ ochronΩ antywirusow╣,
• SWEEP - skaner antywirusowy.

Technologia InterCheck - ochrona antywirusowa typu klient-serwer
Modu│ InterCheck realizuje aktywn╣ ochronΩ antywirusow╣ dla komputer≤w wolnostoj╣cych i stacji roboczych sieci. Jest to rozwi╣zanie dzia│aj╣ce w trybie klient-serwer, zapewniaj╣ce dodatkowo automatyczn╣ aktualizacjΩ oprogramowania antywirusowego dla ca│ej sieci oraz scentralizowane powiadamianie i raporty o wirusach. InterCheck daje skuteczn╣, aktywn╣ ochronΩ antywirusow╣ bez zbytniego obci╣┐ania stacji roboczych i sieci. Jest ca│kowicie przezroczysty dla u┐ytkownika i nie przeszkadza w jego codziennej pracy. U┐ytkownik jest informowany tylko w momencie wykrycia wirusa (w tym samym momencie powiadamiany jest administrator). Wirus jest przechwytywany, blokowany i ewentualnie usuwany zanim zd╣┐y wyrz╣dziµ szkodΩ lub zaraziµ inne pliki. Poza rol╣ stra┐nika antywirusowego, InterCheck wspomaga automatyzacjΩ aktualizacji oprogramowania antywirusowego. Podstawow╣ r≤┐nic╣ w stosunku do tradycyjnych skaner≤w dzia│aj╣cych w czasie rzeczywistym jest bardzo wysoka skuteczno£µ (szczeg≤lnie w stosunku do wirus≤w polimorficznych) oraz niskie obci╣┐enie systemu. Cechy te realizowane s╣ poprzez kombinacjΩ kontroli integralno£ci i klasycznego skanowania.

Pe│na ochrona
R≤┐norodno£µ metod przesy│ania i wymiany informacji we wsp≤│czesnych systemach informatycznych powoduje, ┐e ochrona antywirusowa staje siΩ procesem coraz bardziej skomplikowanym. Szczeg≤lnie wymiana informacji za pomoc╣ system≤w poczty elektronicznej mo┐e sprawiaµ k│opoty programom antywirusowym. Spowodowane jest to zastosowaniem r≤┐nych metod modyfikowania plik≤w z│╣czanych do komunikat≤w pocztowych. Pliki te s╣ potencjalnymi "nosicielami" wirus≤w. Dodatkowo, komunikaty mog╣ byµ szyfrowane. Takie modyfikacje uniemo┐liwiaj╣ wykrycie wirusa w klasyczny spos≤b. InterCheck ca│kowicie chroni u┐ytkownika przed infekcj╣, poniewa┐ przechwytuje wirusa w momencie, gdy u┐ytkownik pr≤buje uzyskaµ dostΩp do zainfekowanego obiektu. Takie podej£cie jest wysoce wydajne, poniewa┐ eliminuje potrzebΩ nieustannego skanowania np. wszystkich komunikat≤w poczty elektronicznej czy plik≤w pobieranych z Internetu, a z drugiej strony zapewnia skuteczn╣ detekcjΩ i eliminacjΩ wirusa zanim zd╣┐y on wyrz╣dziµ jak╣kolwiek szkodΩ. Detekcja jest mo┐liwa niezale┐nie od modyfikacji dokonanej na zawirusowanym obiekcie (archiwizacja, kodowanie dla cel≤w poczty elektronicznej, szyfrowanie i inne - dowolne). Proces kontroli antywirusowej jest w pe│ni automatyczny i niezale┐ny od u┐ytkownika.

Detekcja wirus≤w w plikach skompresowanych, zakodowanych lub zaszyfrowanych
Pliki poddane kompresji, kodowaniu lub szyfrowaniu nie stanowi╣ zagro┐enia dop≤ki nie zostan╣ przywr≤cone do pierwotnej postaci i u┐yte (plik wykonywalny uruchomiony, dokument otworzony). Tu w│a£nie wkracza technologia InterCheck. Ka┐dy plik podlegaj╣cy kontroli zostanie sprawdzony zanim u┐ytkownik zd╣┐y z niego skorzystaµ - w momencie rozpakowywania, dekodowania lub deszyfrowania.

Podej£cie InterCheck ma trzy zasadnicze zalety:

• dzia│a na dowolnych systemach kodowania (np. MIME, UUENCODE),kompresji (np. ZIP, ARJ, LHA) oraz szyfrowania, poniewa┐ jest od nich niezale┐ne. W przypadku program≤w antywirusowych skanuj╣cych wewn╣trz poczty i plik≤w spakowanych zastosowanie niestandardowego systemu kodowania lub kompresji uniemo┐liwia kontrolΩ antywirusow╣,
• nie zale┐y od ewentualnego zaszyfrowania informacji,
• skanuje obiekty wtedy, gdy mog╣ one byµ groƒne (w momencie pr≤by uzyskania dostΩpu), co znacznie zmniejsza obci╣┐enie systemu komputerowego.

Sophos Anti-Virus automatycznie dekompresuje i skanuje pliki skompresowane dynamicznie, tj. pliki wykonywalne EXE, kt≤re "wewn╣trz" s╣ skompresowane. Takie pliki musz╣ byµ traktowane jak zwyk│e pliki wykonywalne. Dodatkowym zagro┐eniem jest fakt, ┐e ƒr≤d│owy (niespakowany) plik wykonywalny m≤g│ zostaµ zawirusowany.

Niskie obci╣┐enie
Autorzy wirus≤w dbaj╣ o to, aby ich liczba oraz stopie± skomplikowania ci╣gle ros│y. Id╣ za tym coraz wiΩksze potrzeby pamiΩciowe i obliczeniowe oprogramowania antywirusowego. Skutkiem tych wymaga± klasyczne podej£cie do aktywnej ochrony antywirusowej (skanowanie pliku przy ka┐dym dostΩpie do niego) powoduje tak du┐e obci╣┐enia komputer≤w, ┐e s╣ one nie do przyjΩcia dla ko±cowego u┐ytkownika. InterCheck korzysta z unikalnego, opatentowanego podej£cia do ochrony antywirusowej. Polega ono na kombinacji skanowania i kontroli integralno£ci z technologi╣ klient-serwer. Efektem tego jest bardzo wysoka skuteczno£µ detekcji po│╣czona z niskim obci╣┐eniem. DziΩki InterCheck nie ma potrzeby kontrolowania plik≤w przy ka┐dym dostΩpie. Podej£cie InterCheck bΩdzie skuteczne r≤wnie┐ w przysz│o£ci, niezale┐nie od nieuchronnego wzrostu ilo£ci i stopnia skomplikowania wirus≤w.

• WstΩpne skanowanie i autoryzacja (utworzenie pliku warto£ci kontrolnych). Kiedy u┐ytkownik po raz pierwszy loguje siΩ do sieci (lub uruchamia komputer wolnostoj╣cy) chronionej systemem Sophos Anti-Virus, nastΩpuje aktywacja modu│u InterCheck. InterCheck uruchamia modu│ SWEEP lokalnie i skanuje lokalne twarde dyski u┐ytkownika. Dla wszystkich plik≤w podlegaj╣cych kontroli Sophos Anti-Virus wyliczane s╣ kryptograficzne warto£ci kontrolne. Warto£ci kontrolne zachowywane s╣ na lokalnym twardym dysku oraz centralnie. »aden z autoryzowanych w ten spos≤b plik≤w na lokalnym twardym dysku nie bΩdzie wymagaµ ponownego skanowania przy ka┐dym nastΩpnym dostΩpie (oczywi£cie do momentu, gdy plik nie ulegnie zmianie - wtedy bΩdzie musia│ byµ sprawdzony, gdy┐ zmiana mo┐e byµ spowodowana wirusem.)

• Centralne pliki warto£ci kontrolnych. Modu│ Sophos Anti-Virus dzia│aj╣cy na serwerze zarz╣dza i obs│uguje plik centralnych warto£ci kontrolnych, dostΩpny dla ka┐dego dzia│aj╣cego lokalnie klienta InterCheck. Ka┐dorazowa autoryzacja pliku przez serwerowy modu│ Sophos Anti-Virus powoduje uzupe│nienie centralnego pliku warto£ci kontrolnych. Kiedy inny klient InterCheck wykryje konieczno£µ kontroli tego samego pliku na swojej stacji roboczej, plik ten nie bΩdzie musia│ byµ skanowany, poniewa┐ jego warto£µ kontrolna bΩdzie ju┐ dostΩpna. Centralne pliki warto£ci kontrolnych u│atwiaj╣ np. aktualizacjΩ aplikacji. Wystarczy, ┐e autoryzacja nowej wersji aplikacji zostanie dokonana na serwerze sieci lub na jednej stacji roboczej, a na pozosta│ych stacjach roboczych nie bΩdzie ona ju┐ konieczna (do momentu, gdy plik nie ulegnie zmianie).
• Autoryzacja dokonywana przez modu│ serwerowy. Planowane skanowanie serwera przez serwerowy modu│ Sophos Anti-Virus automatycznie aktualizuje centralny plik warto£ci kontrolnych. Wszystkie pliki w ten spos≤b autoryzowane na serwerze a potem uruchamiane ze stacji roboczych nie bΩd╣ wymagaµ autoryzacji.

Technologia klient-serwer i tryby pracy
System ochrony antywirusowej sk│ada siΩ z dwu komponent≤w: klienta InterCheck, odpowiedzialnego za kontrolΩ integralno£ci chronionych obiekt≤w (inaczej m≤wi╣c, za decyzjΩ, czy dany obiekt ma byµ skanowany, czy nie) oraz z modu│u SWEEP, kt≤ry odpowiedzialny jest za skanowanie (i inne funkcje: m.in powiadamianie). Klient InterCheck wysy│a do modu│u SWEEP ┐╣danie wykonania kontroli antywirusowej nieznanego obiektu (programu, dokumentu, dyskietki) przy pierwszej pr≤bie dostΩpu. Je£li taki obiekt zosta│ okre£lony przez SWEEP jako wolny od wirus≤w, InterCheck dodaje kryptograficzn╣ warto£µ kontroln╣ tego obiektu do listy autoryzowanych obiekt≤w. Lista ta umo┐liwia pominiΩcie skanowania obiekt≤w, kt≤re nie uleg│y modyfikacji od czasu ostatniego skanowania. Je£li obiekt uleg│ jakiejkolwiek zmianie, to w momencie dostΩpu do niego InterCheck za┐╣da ponownej autoryzacji od modu│u SWEEP. Je£li w obiekcie zostanie wykryty wirus, InterCheck uniemo┐liwi dostΩp do niego i powiadomi u┐ytkownika oraz administratora. InterCheck i SWEEP mog╣ wsp≤│pracowaµ w trzech r≤┐nych trybach, opisanych poni┐ej.

• Zasada dzia│ania. W tym trybie klient InterCheck │adowany jest na stacjach roboczych, a modu│ SWEEP dzia│a na serwerze. Tryb ten stosowany jest g│≤wnie dla "s│abszych" stacji roboczych, poniewa┐ minimalizuje on ich obci╣┐enie. Jest to domy£lny tryb pracy dla stacji roboczych sieci pracuj╣cych pod DOS/Windows 3.x/Windows 95. Zar≤wno modu│ SWEEP, jak i sam InterCheck przechowywany jest na serwerze. Klient InterCheck │adowany jest ze skryptu logowania w momencie logowania siΩ u┐ytkownika do sieci. Ta sama komenda │aduj╣ca u┐ywana jest dla stacji roboczych DOS/Windows 3.x, jak i Windows 95 (rozpoznaje ona system operacyjny stacji roboczej i │aduje odpowiednie sterowniki). Na stacji roboczej nie ma ┐adnych modu│≤w, dodatkow╣ zalet╣ jest wiΩc oszczΩdno£µ miejsca na dysku. Obci╣┐enie sieci przy skanowaniu w trybie klient-serwer jest minimalizowane poprzez automatyczne przeskanowanie twardego dysku i preautoryzacjΩ plik≤w; czynno£µ ta wykonywana jest przy instalacji systemu oraz przy ka┐dej aktualizacji (raz w miesi╣cu). DziΩki temu do sprawdzenia na serwer odsy│ane s╣ tylko zmodyfikowane pliki, co w codziennej pracy oznacza minimalne obci╣┐enie. Dodatkowo, modu│ SWEEP na serwerze generuje i obs│uguje tzw. centralny plik warto£ci kontrolnych, kt≤ry jest centraln╣ list╣ autoryzowanych plik≤w z ca│ej sieci. Przed odes│aniem pliku do sprawdzenia, InterCheck dodatkowo odwo│uje siΩ do centralnego pliku warto£ci kontrolnych, aby unikn╣µ odes│ania na serwer pliku ju┐ sprawdzonego np. na innej stacji roboczej lub poprzez planowane skanowanie na serwerze (dotyczy to np. aplikacji wgrywanych z serwera). Wszystkie te cechy oznaczaj╣, ┐e w sieci niezawirusowany plik bΩdzie skanowany tylko raz, niezale┐nie od tego gdzie to skanowanie bΩdzie wykonane.

• Aktualizacje i raporty. ComiesiΩczne aktualizacje instalowane s╣ tylko w jednym miejscu - na serwerze. Stacje robocze │aduj╣ zaktualizowan╣ wersjΩ oprogramowania automatycznie przy nastΩpnym logowaniu. Powiadamiania i raporty o wirusach przesy│ane s╣ do serwerowego modu│u SWEEP, kt≤ry powiadamia odpowiednie osoby.

• Zasada dzia│ania. W tym trybie zar≤wno klient InterCheck, jak i modu│ skanera SWEEP instalowane s╣ na stacji roboczej lub komputerze wolnostoj╣cym. Minimalizuje to obci╣┐enie sieci i, co najwa┐niejsze, zapewnia ochronΩ komputer≤w wolnostoj╣cych. Jest to domy£lny tryb pracy dla Windows for Workgroups oraz Windows NT, jak i dla komputer≤w wolnostoj╣cych pracuj╣cych pod Windows 95. Zar≤wno InterCheck, jak i SWEEP instalowane s╣ na dysku lokalnym. InterCheck │adowany jest wraz z systemem operacyjnym i daje tak╣ sam╣ ochronΩ, jak w trybie sieciowym, z t╣ r≤┐nic╣, ┐e autoryzacja obiekt≤w wykonywana jest przez lokalny modu│ SWEEP. Stacje robocze Windows 3.x i Windows 95 mog╣ automatycznie prze│╣czaµ siΩ na tryb sieciowy, gdy sieciowy modu│ SWEEP jest dostΩpny.
• Aktualizacje i raporty. ComiesiΩczne aktualizacje instalowane s╣ tylko na serwerze. Stacje robocze │aduj╣ zaktualizowan╣ wersjΩ oprogramowania automatycznie przy nastΩpnym logowaniu. Powiadamiania i raporty o wirusach przesy│ane s╣ do serwerowego modu│u SWEEP (gdy jest dostΩpny), kt≤ry powiadamia odpowiednie osoby. Komputery wolnostoj╣ce, kt≤re nigdy nie loguj╣ siΩ do sieci, wymagaj╣ oczywi£cie indywidualnej aktualizacji.

• Zasada dzia│ania. W tym trybie modu│y InterCheck i SWEEP dzia│aj╣ jednocze£nie na serwerze i chroni╣ aktywnie jedynie serwer. Zapewniona jest kontrola antywirusowa w czasie rzeczywistym wszystkich plik≤w odczytywanych i/lub zapisywanych na serwer. UWAGA. Tryb ten nie zapewnia aktywnej ochrony stacji roboczych.
• Aktualizacje i raporty. ComiesiΩczne aktualizacje instalowane s╣ na serwerze. Powiadamiania i raporty o wirusach przesy│ane s╣ od razu do odpowiednich os≤b.

Centralna instalacja i konfiguracja
W wiΩkszo£ci przypadk≤w instalacja klienta InterCheck na stacjach roboczych sieci mo┐e byµ r≤wnie┐ ca│kowicie zautomatyzowana. Administrator nie bΩdzie musia│ odwiedzaµ stacji roboczych. Ta sama wygoda dotyczy konfiguracji ochrony antywirusowej na stacjach roboczych. Konfiguracja ta mo┐e byµ sterowana centralnie dla grup stacji roboczych oraz dla indywidualnych stacji. Instalacja jest wiΩc jednopunktowa, oprogramowanie instalowane jest w jednym miejscu i st╣d "rozchodzi siΩ" po ca│ej sieci automatycznie.

Centralna i automatyczna aktualizacja
Oprogramowanie antywirusowe musi byµ zawsze aktualne, aby skutecznie chroniµ komputery przed najnowszymi wirusami. Aktualizacja oprogramowania antywirusowego by│a zawsze powa┐nym problemem, szczeg≤lnie w du┐ych instytucjach. CzΩsto brak czasu administratora powodowa│, ┐e na niekt≤rych komputerach znajdowa│y siΩ stare wersje oprogramowania antywirusowego, nie daj╣ce skutecznej ochrony. Zastosowanie systemu Sophos Anti-Virus ca│kowicie rozwi╣zuje ten problem. Po zainstalowaniu systemu administrator sieci dokonuje aktualizacji Sophos Anti-Virus tylko na jednym serwerze w ca│ej sieci. Aktualizacje na wszystkich stacjach roboczych i innych serwerach sieci dokonywane s╣ automatycznie - bez konieczno£ci interwencji administratora ani u┐ytkownika. Dotyczy to r≤wnie┐ komputer≤w przeno£nych, kt≤re loguj╣ siΩ do sieci sporadycznie. DziΩki systemowi Sophos Anti-Virus chroniona jest ca│a instytucja, przy minimalnym wk│adzie pracy administratora.

Centralne powiadamianie
Wszystkie informacje o incydentach wirusowych gromadzone s╣ centralnie, a powiadmianie nastΩpuje natychmiast w momencie wykrycia np. zawirusowanej dyskietki w stacji. (DziΩki temu administrator sieci natychmiast bΩdzie wiedzia│ o pr≤bie skorzystania z zawirusowanej dyskietki np. w s╣siednim budynku.) Rejestrowane s╣ informacje identyfikuj╣ce u┐ytkownika i stacjΩ robocz╣, co umo┐liwia np. wyci╣gniΩcie konsekwencji s│u┐bowych. Oczywi£cie powiadamiany jest te┐ u┐ytkownik pr≤buj╣cy skorzystaµ z zawirusowanego obiektu.

Najnowsza technologia detekcji wirus≤w
Nowoczesne techniki detekcji wirus≤w stosowane przez Sophos Anti-Virus oraz opisywanie wirus≤w za pomoc╣ opracowanego przez Sophos jΩzyka Virus Description Language pozwalaj╣ nie tylko na skuteczne wykrywanie wirus≤w, ale i na awaryjne aktualizowanie bazy wirus≤w Sophos Anti-Virus. W przypadku wykrycia nowego wirusa pomiΩdzy comiesiΩcznymi aktualizacjami Sophos Anti-Virus lub po dokonaniu analizy pliku przez Sophos (usu│uga ta jest bezp│atna dla subskrybent≤w Sophos Anti-Virus), identyfikator nowego wirusa mo┐e byµ przes│any faxem lub emailem. Po umieszczeniu w katalogu Sophos Anti-Virus, zostanie on rozpoznany i automatycznie dodany do bazy wirus≤w.

úatwo£µ obs│ugi
Sophos Anti-Virus posiada │atwy w obs│udze interfejs u┐ytkownika. Skonstruowany jest on tak, aby maksymalnie u│atwiµ administracjΩ systemem. Sophos Anti-Virus ma mo┐liwo£µ planowania skanowania w okre£lonych dniach i godzinach. Administrator mo┐e okre£liµ obszary skanowania. Obszerna i przejrzysta dokumentacja umo┐liwia szybk╣ instalacjΩ i konfiguracjΩ systemu do dzia│ania.

Automatyczna aktualizacja przez Internet
Istnieje mo┐liwo£µ pobierania nowych wersji programu za po£rednictwem Internetu. Ka┐dy z subskrybent≤w systemu Sophos Anti-Virus otrzymuje specjalne konto na serwerze Sophosu (www.sophos.com). Daje to mo┐liwo£µ szybkiej aktualizacji systemu w chwili ukazania siΩ najnowszej jego wersji. Sophos dostarcza bezp│atnie narzΩdzie SGet umo┐liwiaj╣ce ca│kowit╣ automatyzacjΩ aktualizacji dokonywanej poprzez Internet.

Aktywna ochrona antywirusowa na serwerach pocztowych
Istnieje mo┐liwo£µ rozszerzenia Sophos Anti-Virus for Windows NT o specjalny interfejs: SAVI (Sophos Anti-Virus Interface; interfejs programistyczny w postaci biblioteki DLL). SAVI umo┐liwia innym aplikacjom wywo│ywanie funkcji wykonuj╣cych kontrolΩ antywirusow╣. Pozwala to zapewniµ aktywn╣ ochron╣ antywirusow╣ na serwerach pocztowych. Poprzez SAVI realizowana jest komunikacja miΩdzy Sophos Anti-Virus a systemem monitorowania poczty elektronicznej oraz plik≤w pobranych z Internetu: MIMEsweeper. Sophos Anti-Virus w po│╣czeniu z MIMEsweeper'em daje mo┐liwo£µ ochrony serwer≤w pocztowych: SMTP, Microsoft Exchange, Lotus Notes, Lotus cc:Mail oraz Novell GroupWise.

Obs│ugiwane platformy systemowe

	Serwery			Stacje robocze
	Windows NT (Alpha)			DOS
	Windows NT (Intel)			Windows 3.x
	Novell NetWare			Windows 95
	OpenVMS (Alpha)			Windows NT (Alpha)
	OpenVMS (VAX)			Windows NT (Intel)
	Banyan VINES			Macintosh
	OS/2

W dalszej czΩ£ci ulotki przedstawiono specyficzne cechy systemu dla niekt≤rych z nich.

Centralna instalacja, konfiguracja i aktualizacja Sophos Anti-Virus w sieciach Windows NT
Sophos Anti-Virus wyposa┐ony jest w narzΩdzie s│u┐╣ce do centralnego zarz╣dzania w sieciach NT - SAVAdmin. Umo┐liwia ono instalacjΩ, konfiguracjΩ oraz aktualizacjΩ systemu na wszystkich serwerach i stacjach roboczych NT z jednego komputera. Aplikacja wyposa┐ona jest w graficzny interfejs u┐ytkownika.

Automatyczna aktualizacja Sophos Anti-Virus w sieciach NetWare
W wersji na platformΩ NetWare Sophos Anti-Virus posiada opcje w pe│ni automatycznej aktualizacji. System samodzielnie aktualizuje siΩ sprawdzaj╣c co pewien czas czy s╣ ju┐ dostΩpne pliki w nowej wersji.

Producent
Producentem systemu antywirusowego Sophos Anti-Virus jest brytyjska firma Sophos Data Security Plc (http://www.sophos.com).

⌐ 1998 SAFE COMPUTING Sp. z o.o., http://www.safecomp.com/, email: info@safecomp.com
Tel/fax (022) 6198956, 6700756, 6700956; 03-733 Warszawa, ul.Targowa 34