INFORMACJA O PRODUKCIE

Sophos Anti-Virus

Aktywna ochrona antywirusowa dla sieci i komputerów wolnostojących

We współczesnych systemach informatycznych wirusy trafiają do komputerów na wiele różnych sposobów: poprzez wymianę dyskietek, pocztę elektroniczną (wewnętrzną - firmową lub internetową), ściągane oprogramowanie, dokumenty Wordowe z Internetu, czy korzystanie z dołączanych do czasopism komputerowych CD-ROM'ow. Kluczem do skutecznej ochrony antywirusowej jest jak najlepsza wykrywalność i działanie w czasie rzeczywistym (aktywna ochrona antywirusowa) oraz skuteczne, centralne zarządzanie i aktualizacja oprogramowania antywirusowego. System Sophos Anti-Virus spełnia wszystkie te wymogi. Był od podstaw projektowany w taki sposób by sprostać wymaganiom ochrony antywirusowej zarówno w dużych, wieloserwerowych sieciach komputerowych jak i komputerach wolnostojących. Stanowi zintegrowane rozwiązanie zachowujące pełną funkcjonalność także w środowisku sieci międzyplatformowych. Działa w sposób automatyczny i przezroczysty dla końcowego użytkownika.

Elementy składowe systemu Sophos Anti-Virus
W skład systemu Sophos Anti-Virus wchodzą dwa podstawowe komponenty:

• InterCheck - moduł zapewniający aktywną ochronę antywirusową,
• SWEEP - skaner antywirusowy.

Technologia InterCheck - ochrona antywirusowa typu klient-serwer
Moduł InterCheck realizuje aktywną ochronę antywirusową dla komputerów wolnostojących i stacji roboczych sieci. Jest to rozwiązanie działające w trybie klient-serwer, zapewniające dodatkowo automatyczną aktualizację oprogramowania antywirusowego dla całej sieci oraz scentralizowane powiadamianie i raporty o wirusach. InterCheck daje skuteczną, aktywną ochronę antywirusową bez zbytniego obciążania stacji roboczych i sieci. Jest całkowicie przezroczysty dla użytkownika i nie przeszkadza w jego codziennej pracy. Użytkownik jest informowany tylko w momencie wykrycia wirusa (w tym samym momencie powiadamiany jest administrator). Wirus jest przechwytywany, blokowany i ewentualnie usuwany zanim zdąży wyrządzić szkodę lub zarazić inne pliki. Poza rolą strażnika antywirusowego, InterCheck wspomaga automatyzację aktualizacji oprogramowania antywirusowego. Podstawową różnicą w stosunku do tradycyjnych skanerów działających w czasie rzeczywistym jest bardzo wysoka skuteczność (szczególnie w stosunku do wirusów polimorficznych) oraz niskie obciążenie systemu. Cechy te realizowane są poprzez kombinację kontroli integralności i klasycznego skanowania.

Pełna ochrona
Różnorodność metod przesyłania i wymiany informacji we współczesnych systemach informatycznych powoduje, że ochrona antywirusowa staje się procesem coraz bardziej skomplikowanym. Szczególnie wymiana informacji za pomocą systemów poczty elektronicznej może sprawiać kłopoty programom antywirusowym. Spowodowane jest to zastosowaniem różnych metod modyfikowania plików złączanych do komunikatów pocztowych. Pliki te są potencjalnymi "nosicielami" wirusów. Dodatkowo, komunikaty mogą być szyfrowane. Takie modyfikacje uniemożliwiają wykrycie wirusa w klasyczny sposób. InterCheck całkowicie chroni użytkownika przed infekcją, ponieważ przechwytuje wirusa w momencie, gdy użytkownik próbuje uzyskać dostęp do zainfekowanego obiektu. Takie podejście jest wysoce wydajne, ponieważ eliminuje potrzebę nieustannego skanowania np. wszystkich komunikatów poczty elektronicznej czy plików pobieranych z Internetu, a z drugiej strony zapewnia skuteczną detekcję i eliminację wirusa zanim zdąży on wyrządzić jakąkolwiek szkodę. Detekcja jest możliwa niezależnie od modyfikacji dokonanej na zawirusowanym obiekcie (archiwizacja, kodowanie dla celów poczty elektronicznej, szyfrowanie i inne - dowolne). Proces kontroli antywirusowej jest w pełni automatyczny i niezależny od użytkownika.

Detekcja wirusów w plikach skompresowanych, zakodowanych lub zaszyfrowanych
Pliki poddane kompresji, kodowaniu lub szyfrowaniu nie stanowią zagrożenia dopóki nie zostaną przywrócone do pierwotnej postaci i użyte (plik wykonywalny uruchomiony, dokument otworzony). Tu właśnie wkracza technologia InterCheck. Każdy plik podlegający kontroli zostanie sprawdzony zanim użytkownik zdąży z niego skorzystać - w momencie rozpakowywania, dekodowania lub deszyfrowania.

Podejście InterCheck ma trzy zasadnicze zalety:

• działa na dowolnych systemach kodowania (np. MIME, UUENCODE),kompresji (np. ZIP, ARJ, LHA) oraz szyfrowania, ponieważ jest od nich niezależne. W przypadku programów antywirusowych skanujących wewnątrz poczty i plików spakowanych zastosowanie niestandardowego systemu kodowania lub kompresji uniemożliwia kontrolę antywirusową,
• nie zależy od ewentualnego zaszyfrowania informacji,
• skanuje obiekty wtedy, gdy mogą one być groźne (w momencie próby uzyskania dostępu), co znacznie zmniejsza obciążenie systemu komputerowego.

Sophos Anti-Virus automatycznie dekompresuje i skanuje pliki skompresowane dynamicznie, tj. pliki wykonywalne EXE, które "wewnątrz" są skompresowane. Takie pliki muszą być traktowane jak zwykłe pliki wykonywalne. Dodatkowym zagrożeniem jest fakt, że źródłowy (niespakowany) plik wykonywalny mógł zostać zawirusowany.

Niskie obciążenie
Autorzy wirusów dbają o to, aby ich liczba oraz stopień skomplikowania ciągle rosły. Idą za tym coraz większe potrzeby pamięciowe i obliczeniowe oprogramowania antywirusowego. Skutkiem tych wymagań klasyczne podejście do aktywnej ochrony antywirusowej (skanowanie pliku przy każdym dostępie do niego) powoduje tak duże obciążenia komputerów, że są one nie do przyjęcia dla końcowego użytkownika. InterCheck korzysta z unikalnego, opatentowanego podejścia do ochrony antywirusowej. Polega ono na kombinacji skanowania i kontroli integralności z technologią klient-serwer. Efektem tego jest bardzo wysoka skuteczność detekcji połączona z niskim obciążeniem. Dzięki InterCheck nie ma potrzeby kontrolowania plików przy każdym dostępie. Podejście InterCheck będzie skuteczne również w przyszłości, niezależnie od nieuchronnego wzrostu ilości i stopnia skomplikowania wirusów.

• Wstępne skanowanie i autoryzacja (utworzenie pliku wartości kontrolnych). Kiedy użytkownik po raz pierwszy loguje się do sieci (lub uruchamia komputer wolnostojący) chronionej systemem Sophos Anti-Virus, następuje aktywacja modułu InterCheck. InterCheck uruchamia moduł SWEEP lokalnie i skanuje lokalne twarde dyski użytkownika. Dla wszystkich plików podlegających kontroli Sophos Anti-Virus wyliczane są kryptograficzne wartości kontrolne. Wartości kontrolne zachowywane są na lokalnym twardym dysku oraz centralnie. Żaden z autoryzowanych w ten sposób plików na lokalnym twardym dysku nie będzie wymagać ponownego skanowania przy każdym następnym dostępie (oczywiście do momentu, gdy plik nie ulegnie zmianie - wtedy będzie musiał być sprawdzony, gdyż zmiana może być spowodowana wirusem.)

• Centralne pliki wartości kontrolnych. Moduł Sophos Anti-Virus działający na serwerze zarządza i obsługuje plik centralnych wartości kontrolnych, dostępny dla każdego działającego lokalnie klienta InterCheck. Każdorazowa autoryzacja pliku przez serwerowy moduł Sophos Anti-Virus powoduje uzupełnienie centralnego pliku wartości kontrolnych. Kiedy inny klient InterCheck wykryje konieczność kontroli tego samego pliku na swojej stacji roboczej, plik ten nie będzie musiał być skanowany, ponieważ jego wartość kontrolna będzie już dostępna. Centralne pliki wartości kontrolnych ułatwiają np. aktualizację aplikacji. Wystarczy, że autoryzacja nowej wersji aplikacji zostanie dokonana na serwerze sieci lub na jednej stacji roboczej, a na pozostałych stacjach roboczych nie będzie ona już konieczna (do momentu, gdy plik nie ulegnie zmianie).
• Autoryzacja dokonywana przez moduł serwerowy. Planowane skanowanie serwera przez serwerowy moduł Sophos Anti-Virus automatycznie aktualizuje centralny plik wartości kontrolnych. Wszystkie pliki w ten sposób autoryzowane na serwerze a potem uruchamiane ze stacji roboczych nie będą wymagać autoryzacji.

Technologia klient-serwer i tryby pracy
System ochrony antywirusowej składa się z dwu komponentów: klienta InterCheck, odpowiedzialnego za kontrolę integralności chronionych obiektów (inaczej mówiąc, za decyzję, czy dany obiekt ma być skanowany, czy nie) oraz z modułu SWEEP, który odpowiedzialny jest za skanowanie (i inne funkcje: m.in powiadamianie). Klient InterCheck wysyła do modułu SWEEP żądanie wykonania kontroli antywirusowej nieznanego obiektu (programu, dokumentu, dyskietki) przy pierwszej próbie dostępu. Jeśli taki obiekt został określony przez SWEEP jako wolny od wirusów, InterCheck dodaje kryptograficzną wartość kontrolną tego obiektu do listy autoryzowanych obiektów. Lista ta umożliwia pominięcie skanowania obiektów, które nie uległy modyfikacji od czasu ostatniego skanowania. Jeśli obiekt uległ jakiejkolwiek zmianie, to w momencie dostępu do niego InterCheck zażąda ponownej autoryzacji od modułu SWEEP. Jeśli w obiekcie zostanie wykryty wirus, InterCheck uniemożliwi dostęp do niego i powiadomi użytkownika oraz administratora. InterCheck i SWEEP mogą współpracować w trzech różnych trybach, opisanych poniżej.

• Zasada działania. W tym trybie klient InterCheck ładowany jest na stacjach roboczych, a moduł SWEEP działa na serwerze. Tryb ten stosowany jest głównie dla "słabszych" stacji roboczych, ponieważ minimalizuje on ich obciążenie. Jest to domyślny tryb pracy dla stacji roboczych sieci pracujących pod DOS/Windows 3.x/Windows 95. Zarówno moduł SWEEP, jak i sam InterCheck przechowywany jest na serwerze. Klient InterCheck ładowany jest ze skryptu logowania w momencie logowania się użytkownika do sieci. Ta sama komenda ładująca używana jest dla stacji roboczych DOS/Windows 3.x, jak i Windows 95 (rozpoznaje ona system operacyjny stacji roboczej i ładuje odpowiednie sterowniki). Na stacji roboczej nie ma żadnych modułów, dodatkową zaletą jest więc oszczędność miejsca na dysku. Obciążenie sieci przy skanowaniu w trybie klient-serwer jest minimalizowane poprzez automatyczne przeskanowanie twardego dysku i preautoryzację plików; czynność ta wykonywana jest przy instalacji systemu oraz przy każdej aktualizacji (raz w miesiącu). Dzięki temu do sprawdzenia na serwer odsyłane są tylko zmodyfikowane pliki, co w codziennej pracy oznacza minimalne obciążenie. Dodatkowo, moduł SWEEP na serwerze generuje i obsługuje tzw. centralny plik wartości kontrolnych, który jest centralną listą autoryzowanych plików z całej sieci. Przed odesłaniem pliku do sprawdzenia, InterCheck dodatkowo odwołuje się do centralnego pliku wartości kontrolnych, aby uniknąć odesłania na serwer pliku już sprawdzonego np. na innej stacji roboczej lub poprzez planowane skanowanie na serwerze (dotyczy to np. aplikacji wgrywanych z serwera). Wszystkie te cechy oznaczają, że w sieci niezawirusowany plik będzie skanowany tylko raz, niezależnie od tego gdzie to skanowanie będzie wykonane.

• Aktualizacje i raporty. Comiesięczne aktualizacje instalowane są tylko w jednym miejscu - na serwerze. Stacje robocze ładują zaktualizowaną wersję oprogramowania automatycznie przy następnym logowaniu. Powiadamiania i raporty o wirusach przesyłane są do serwerowego modułu SWEEP, który powiadamia odpowiednie osoby.

• Zasada działania. W tym trybie zarówno klient InterCheck, jak i moduł skanera SWEEP instalowane są na stacji roboczej lub komputerze wolnostojącym. Minimalizuje to obciążenie sieci i, co najważniejsze, zapewnia ochronę komputerów wolnostojących. Jest to domyślny tryb pracy dla Windows for Workgroups oraz Windows NT, jak i dla komputerów wolnostojących pracujących pod Windows 95. Zarówno InterCheck, jak i SWEEP instalowane są na dysku lokalnym. InterCheck ładowany jest wraz z systemem operacyjnym i daje taką samą ochronę, jak w trybie sieciowym, z tą różnicą, że autoryzacja obiektów wykonywana jest przez lokalny moduł SWEEP. Stacje robocze Windows 3.x i Windows 95 mogą automatycznie przełączać się na tryb sieciowy, gdy sieciowy moduł SWEEP jest dostępny.
• Aktualizacje i raporty. Comiesięczne aktualizacje instalowane są tylko na serwerze. Stacje robocze ładują zaktualizowaną wersję oprogramowania automatycznie przy następnym logowaniu. Powiadamiania i raporty o wirusach przesyłane są do serwerowego modułu SWEEP (gdy jest dostępny), który powiadamia odpowiednie osoby. Komputery wolnostojące, które nigdy nie logują się do sieci, wymagają oczywiście indywidualnej aktualizacji.

• Zasada działania. W tym trybie moduły InterCheck i SWEEP działają jednocześnie na serwerze i chronią aktywnie jedynie serwer. Zapewniona jest kontrola antywirusowa w czasie rzeczywistym wszystkich plików odczytywanych i/lub zapisywanych na serwer. UWAGA. Tryb ten nie zapewnia aktywnej ochrony stacji roboczych.
• Aktualizacje i raporty. Comiesięczne aktualizacje instalowane są na serwerze. Powiadamiania i raporty o wirusach przesyłane są od razu do odpowiednich osób.

Centralna instalacja i konfiguracja
W większości przypadków instalacja klienta InterCheck na stacjach roboczych sieci może być również całkowicie zautomatyzowana. Administrator nie będzie musiał odwiedzać stacji roboczych. Ta sama wygoda dotyczy konfiguracji ochrony antywirusowej na stacjach roboczych. Konfiguracja ta może być sterowana centralnie dla grup stacji roboczych oraz dla indywidualnych stacji. Instalacja jest więc jednopunktowa, oprogramowanie instalowane jest w jednym miejscu i stąd "rozchodzi się" po całej sieci automatycznie.

Centralna i automatyczna aktualizacja
Oprogramowanie antywirusowe musi być zawsze aktualne, aby skutecznie chronić komputery przed najnowszymi wirusami. Aktualizacja oprogramowania antywirusowego była zawsze poważnym problemem, szczególnie w dużych instytucjach. Często brak czasu administratora powodował, że na niektórych komputerach znajdowały się stare wersje oprogramowania antywirusowego, nie dające skutecznej ochrony. Zastosowanie systemu Sophos Anti-Virus całkowicie rozwiązuje ten problem. Po zainstalowaniu systemu administrator sieci dokonuje aktualizacji Sophos Anti-Virus tylko na jednym serwerze w całej sieci. Aktualizacje na wszystkich stacjach roboczych i innych serwerach sieci dokonywane są automatycznie - bez konieczności interwencji administratora ani użytkownika. Dotyczy to również komputerów przenośnych, które logują się do sieci sporadycznie. Dzięki systemowi Sophos Anti-Virus chroniona jest cała instytucja, przy minimalnym wkładzie pracy administratora.

Centralne powiadamianie
Wszystkie informacje o incydentach wirusowych gromadzone są centralnie, a powiadmianie następuje natychmiast w momencie wykrycia np. zawirusowanej dyskietki w stacji. (Dzięki temu administrator sieci natychmiast będzie wiedział o próbie skorzystania z zawirusowanej dyskietki np. w sąsiednim budynku.) Rejestrowane są informacje identyfikujące użytkownika i stację roboczą, co umożliwia np. wyciągnięcie konsekwencji służbowych. Oczywiście powiadamiany jest też użytkownik próbujący skorzystać z zawirusowanego obiektu.

Najnowsza technologia detekcji wirusów
Nowoczesne techniki detekcji wirusów stosowane przez Sophos Anti-Virus oraz opisywanie wirusów za pomocą opracowanego przez Sophos języka Virus Description Language pozwalają nie tylko na skuteczne wykrywanie wirusów, ale i na awaryjne aktualizowanie bazy wirusów Sophos Anti-Virus. W przypadku wykrycia nowego wirusa pomiędzy comiesięcznymi aktualizacjami Sophos Anti-Virus lub po dokonaniu analizy pliku przez Sophos (usuługa ta jest bezpłatna dla subskrybentów Sophos Anti-Virus), identyfikator nowego wirusa może być przesłany faxem lub emailem. Po umieszczeniu w katalogu Sophos Anti-Virus, zostanie on rozpoznany i automatycznie dodany do bazy wirusów.

Łatwość obsługi
Sophos Anti-Virus posiada łatwy w obsłudze interfejs użytkownika. Skonstruowany jest on tak, aby maksymalnie ułatwić administrację systemem. Sophos Anti-Virus ma możliwość planowania skanowania w określonych dniach i godzinach. Administrator może określić obszary skanowania. Obszerna i przejrzysta dokumentacja umożliwia szybką instalację i konfigurację systemu do działania.

Automatyczna aktualizacja przez Internet
Istnieje możliwość pobierania nowych wersji programu za pośrednictwem Internetu. Każdy z subskrybentów systemu Sophos Anti-Virus otrzymuje specjalne konto na serwerze Sophosu (www.sophos.com). Daje to możliwość szybkiej aktualizacji systemu w chwili ukazania się najnowszej jego wersji. Sophos dostarcza bezpłatnie narzędzie SGet umożliwiające całkowitą automatyzację aktualizacji dokonywanej poprzez Internet.

Aktywna ochrona antywirusowa na serwerach pocztowych
Istnieje możliwość rozszerzenia Sophos Anti-Virus for Windows NT o specjalny interfejs: SAVI (Sophos Anti-Virus Interface; interfejs programistyczny w postaci biblioteki DLL). SAVI umożliwia innym aplikacjom wywoływanie funkcji wykonujących kontrolę antywirusową. Pozwala to zapewnić aktywną ochroną antywirusową na serwerach pocztowych. Poprzez SAVI realizowana jest komunikacja między Sophos Anti-Virus a systemem monitorowania poczty elektronicznej oraz plików pobranych z Internetu: MIMEsweeper. Sophos Anti-Virus w połączeniu z MIMEsweeper'em daje możliwość ochrony serwerów pocztowych: SMTP, Microsoft Exchange, Lotus Notes, Lotus cc:Mail oraz Novell GroupWise.

Obsługiwane platformy systemowe

	Serwery			Stacje robocze
	Windows NT (Alpha)			DOS
	Windows NT (Intel)			Windows 3.x
	Novell NetWare			Windows 95
	OpenVMS (Alpha)			Windows NT (Alpha)
	OpenVMS (VAX)			Windows NT (Intel)
	Banyan VINES			Macintosh
	OS/2

W dalszej części ulotki przedstawiono specyficzne cechy systemu dla niektórych z nich.

Centralna instalacja, konfiguracja i aktualizacja Sophos Anti-Virus w sieciach Windows NT
Sophos Anti-Virus wyposażony jest w narzędzie służące do centralnego zarządzania w sieciach NT - SAVAdmin. Umożliwia ono instalację, konfigurację oraz aktualizację systemu na wszystkich serwerach i stacjach roboczych NT z jednego komputera. Aplikacja wyposażona jest w graficzny interfejs użytkownika.

Automatyczna aktualizacja Sophos Anti-Virus w sieciach NetWare
W wersji na platformę NetWare Sophos Anti-Virus posiada opcje w pełni automatycznej aktualizacji. System samodzielnie aktualizuje się sprawdzając co pewien czas czy są już dostępne pliki w nowej wersji.

Producent
Producentem systemu antywirusowego Sophos Anti-Virus jest brytyjska firma Sophos Data Security Plc (http://www.sophos.com).

© 1998 SAFE COMPUTING Sp. z o.o., http://www.safecomp.com/, email: info@safecomp.com
Tel/fax (022) 6198956, 6700756, 6700956; 03-733 Warszawa, ul.Targowa 34