Блокирование поведения защищает от вредоносного кода

Технология блокирования опасных действий помогает администраторам бороться с новыми вирусами.

Aнтивирусные программы на базе сигнатур отстают в борьбе за выживание. Создатели компьютерных вирусов постоянно опережают попытки их идентификации и предотвращения все новых угроз. Причина не в недостатке усилий: поставщики сократили время реагирования с суток до часов. Это достойно восхищения, учитывая, что обновление должно гарантированно обнаруживать и лечить вирус, не нарушая при этом работу мириадов клиентских компьютеров.

Проблема в гандикапе. Создатели вредоносного кода всегда имеют фору — они атакуют цели прежде, чем специалисты по защите от вирусов успевают проанализировать и нейтрализовать код. Даже если поставщики традиционного антивирусного ПО смогут выпускать обновления настолько быстро, что обеспечат защиту хотя бы девяти десятых своих клиентов, все равно одна десятая будет страдать от атак. А какой сетевой администратор захочет стать жертвенным агнцем, отданным на съедение стае волков, чтобы спасти остальное стадо?

Между тем проблема становится все серьезней. По данным исследований ICSA Labs 2001 г., вероятность какой-либо компании «подхватить» вирус увеличилась на 15%. Средний простой сервера, ставшего жертвой атаки, составил 14 ч. Типичное время восстановления после поражения вирусом равно четырем человекодням (при одновременном заражении 25 и более компьютеров или серверов).

Очевидно, что традиционные антивирусные средства не могут угнаться за новыми угрозами. Многие организации ищут другие возможности для ликвидации разрыва по времени между вирусной атакой и обновлением подписей. Одна из них — технология блокирования поведения. Она существует уже несколько лет, но лишь сейчас приобрела известность, предлагая то, что не под силу антивирусным решениям на базе сигнатур: защиту от неизвестного вредоносного кода в режиме реального времени.

Блокираторы поведения следят за компонентами ActiveX, апплетами Java, различными языками сценариев и мобильным кодом, поступающим на узел с почтой, из Internet или других сетей. Некоторые из них изолируют такой код в «песочнице», ограничивая его доступ к различным ресурсам ОС и приложениям. Другие внедряются в ядро операционной системы для перехвата системных запросов.

В любом случае блокираторы поведения контролируют выполнение кода в режиме реального времени, и при попытке последнего совершить действие, выходящее за рамки предопределенной политики, он блокируется (см. Рисунок 1). Блокиратор можно также запрограммировать на изоляцию или удаление такого кода и рассылку различных предупреждений. Таким образом предотвратить атаки новых типов удается за счет сравнения поведения в реальном времени с предопределенным набором правил.

В данной статье описаны технология блокирования поведения, ее достоинства и недостатки, а также продукты нескольких компаний. Кроме того, в статье анализируются перспективы антивирусного ПО на базе сигнатур и технологии блокирования поведения.

Специалисты по поведению

По словам Дэйва Кролла, вице-президента по маркетингу и исследованию вопросов безопасности Finjan, разработчика программного обеспечения блокирования поведения, компании обращаются к данной технологии по двум причинам. Во-первых, для закрытия «окна уязвимости» — так называют период времени между появлением нового вируса или «червя» в Internet и получением антивирусной сигнатуры конечным пользователем.

«Установка экстренных антивирусных обновлений — большая головная боль», — утверждает Кролл. Их приходится устанавливать на всех компьютерах в организации, включая главный и удаленные офисы, филиалы, ноутбуки разъезжающих сотрудников и домашние ПК. Даже несколько незащищенных устройств могут поставить под угрозу всю корпоративную сеть.

Превентивные решения дают измотанным администраторам время на обновление сигнатур, установку «заплат», реконфигурацию политик брандмауэров и другие действия по закрытию корпоративной сети. «Блокирование поведения окупится, даже если оно позволит остановить один-два вируса в год», — заявляет Кролл.

Вторая причина применения компаниями подобного программного обеспечения связана с тем, что оно основано на политике. В зависимости от продукта администраторы могут определять очень специфические правила для конкретных учреждений, приложений и даже конечных пользователей. Такая детализация позволяет отличить исполняемый код, отвечающий за важные деловые функции, от вредоносного или несущественного кода.

По иронии, правила часто называют недостатком блокирования поведения. Так как технология в значительной степени зависит от них, на администратора взваливается бремя создания четкого набора инструкций для ряда приложений, функций ОС и групп пользователей. Неудачная политика будет либо останавливать нужные процессы, либо позволит атакам достичь цели.

Это приводит к появлению второго недостатка: ложных тревог. Как и системы обнаружения вторжений (Intrusion Detection System, IDS), блокираторы поведения склонны реагировать на безвредные события. Эффект при этом получается тот же, что и в истории про мальчика, кричавшего: «Волки!» «Если вы будете получать очень много тревожных сообщений, то вскоре перестанете доверять системе», — говорит Винс Уифер, главный директор Symantec Security Response. По его словам, большое количество ложных тревог приведет к тому, что администраторы станут игнорировать их или выключать систему.

Тем не менее технология блокирования поведения приобрела широкую популярность на рынке средств безопасности. В следующем разделе рассматриваются несколько компаний и выпускаемые ими средства.

Предлагаемые продукты

Finjan. По данным аналитиков из IDC, Finjan лидирует на рынке технологии блокирования поведения. Компания предлагает три решения: SurfinGate и SurfinGate for E-mail для охраны шлюзов, а также SurfinShield для установки на ПК.

Устанавливаемый на шлюз SurfinGate проверяет трафик HTTP и ftp на наличие ActiveX, Java, Visual Basic Script (VBS) и JavaScript. Он сканирует такой код на предмет потенциально вредоносного поведения, например операций с файловой системой и обращений к сети. В случае обнаружения возможной угрозы SurfinGate проверяет заданную администратором политику. При ее нарушении SurfinGate не дает коду пройти в сеть, записывает отчет о его действии в журнал и посылает предупреждение администратору. Политики могут назначаться для групп, отделов и конкретных лиц.

Продукт SurfinGate for E-mail сканирует входящий и исходящий трафик SMTP, отыскивая вредоносные коды, включая «троянских коней» и сценарии во вложениях в письмах, файлах ZIP или в текстах писем HTML. Нарушающий политику код блокируется на шлюзе или изолируется для последующего анализа. Текущая версия SurfinGate for E-mail позволяет определять только общие правила.

Данный продукт можно установить на ретранслятор почты SMTP или в качестве дополнения к Microsoft Exchange 2000.

ПО, устанавливаемое на шлюзах, выполняется под управлением Windows NT/2000 и Solaris 6, 7 или 8. Решения SurfinGate и SurfinGate for E-mail работают с IBM eServer Series 330 под управлением Windows 2000. Кроме того, SurfinGate предназначается также для серверов Sun Nextra X1 с ОС Solaris.

Продукт SurfinShield Corporate устанавливается на отдельных ПК. Программа размещается рядом с ядром ОС и следит за исполняемыми файлами, элементами ActiveX, апплетами Java и узлами сценариев Windows, поступающими из Internet, по почте и через системы немедленного обмена сообщениями. Если код пытается создать сетевое соединение, удалить или записать файлы, получить доступ к системному реестру или осуществить запрос к системе, он изолируется в «песочнице». Код, нарушающий установленную администратором политику, либо блокируется, либо удаляется. По словам представителей Finjan, такое клиентское ПО способно с хирургической точностью выявить и удалить вредоносный код, не нарушая функционирование запущенных приложений или браузеров.

Решение SurfinShield Corporate состоит из консоли, серверной и клиентской частей. Консоль функционирует как общекорпоративное средство управления, определяющее правила. Сервер хранит эти политики и ведет журналы событий. Клиентская часть приводит политики в исполнение и помещает исполняемый код в «песочницу». Клиент может выполняться независимо от сервера, что удобно в случае ноутбуков, поскольку они нередко находятся длительное время вне корпоративной сети. Все три компонента работают под ОС семейства Windows.

Aladdin. Решение eSafe Gateway компании Aladdin — это программный продукт для сканирования трафика HTTP, ftp и SMTP с целью выявления исполняемого кода, включая Java, ActiveX и сценарии, написанные на VBScript и JavaScript. При прохождении трафика через eSafe Gateway он отсылается как получателю, так и подсистеме проверки.

Однако последний передаваемый пакет будет задержан на шлюзе до тех пор, пока подсистема не проверит исполняемый код. Если он окажется чист, передача данных конечному пользователю завершится. В противном случае администратору посылается предупреждение. О блокировании передачи сообщается и конечному пользователю.

Решение eSafe Gateway поддерживает протокол векторизации контента (Content Vectoring Protocol, CVP), благодаря ему шлюз способен взаимодействовать с любым OPSEC-совместимым брандмауэром, а точность проверки повышается. Иными словами, брандмауэр станет передавать шлюзу на проверку только потенциально зараженные файлы. Чистые же объекты, например простой текст или изображения, будут сразу доставляться к получателю. Шлюз может взаимодействовать также с OPSEC-совместимыми брандмауэрами на предмет получения изменений в правилах: например, разрешения получать исполняемый код из проверенных источников.

Кроме того, шлюз включает в себя антивирусную подсистему на базе сигнатур для блокирования известных вирусов. eSafe Gateway работает под управлением серверов Windows NT/2000. Специализированная версия может интегрироваться с сервером Microsoft Internet Security and Acceleration (ISA). Кроме того, продукт доступен в виде приложений Linux для небольших и средних организаций.

Решение eSafe Enterprise устанавливается на отдельные компьютеры и для борьбы с вредоносным кодом использует «песочницу» и персональный брандмауэр. Клиентская часть следит за каждым активным процессом и приложениями на рабочем столе через системный драйвер. «Песочница» сравнивает поведение исполняемого кода с определенной администратором политикой и препятствует любым нарушающим ее действиям.

Клиентская часть работает и в качестве персонального брандмауэра. Администраторы могут выборочно блокировать порты IP, предотвращая их открытие на компьютере. Клиент также не даст непреднамеренно установленным «троянским коням» открыть порты для связи с пославшим их злоумышленником.

Клиент eSafe предоставляет администратору достаточно полный контроль над компьютером пользователя. Он может запретить доступ к конкретным сайтам Web (или ограничить их число списком проверенных), блокировать использование определенных слов в электронной почте, чатах и системах немедленного обмена сообщениями, а также запретить пользователю перенастраивать компьютер или устанавливать ПО. Клиентская часть содержит, кроме того, антивирусную подсистему на базе сигнатур для лечения известных вирусов, попадающих на компьютер.

Контроль осуществляется с помощью консоли eConsole, позволяющей настраивать, развертывать и управлять клиентскими агентами. Администраторы могут следить за событиями безопасности, изменять настройки, распространять сетевые, групповые или пользовательские правила.

eSafe Enterprise работает под управлением ОС Windows. Консоль запускается под Windows NT/2000 или Novell NetWare.

Pelican security. Продукт SafeTNet компании Pelican Security представляет собой агент для слежения за приложениями, способными загружать из сети исполняемый код, включая браузеры Web, электронную почту, приложения Office и клиенты для чатов. При исполнении кода динамическая «песочница» SafeTNet (Dynamic Sandbox) перехватывает системные запросы от кода к ОС Windows. Затем они проверяются на соответствие политике и в положительном случае пропускаются. Неприемлемые запросы — попытки изменить реестр или открыть сетевые соединения — блокируются. Конечные пользователи не могут выключить или модифицировать клиент SafeTNet. Он также не позволит загрузить или установить неавторизованные программы.

Исходные правила SafeTNet можно настраивать, чтобы разрешить запуск определенных процессов либо создать новые политики в соответствии с требованиями компании. С помощью Windows NT администраторы смогут применять их глобально или к группам, включая уже сложившиеся в компании.

SafeTNet состоит из трех компонентов: клиентского агента, сервера и управляющей консоли. Сервер устанавливает агента и отсылает ему обновленную политику. Клиент сообщает серверу о событиях, связанных с безопасностью. Управлять этими событиями предполагается с помощью консоли. Кроме того, продукт можно интегрировать в такое управляющее ПО, как UniCenter, HP OpenView и Tivoli.

Клиент работает под управлением Windows 95/98/NT, а сервер — под управлением Windows NT. Консоль управления запускается на рабочей станции NT.

Trend Micro. Решение InterScan AppletTrap компании Trend Micro представляет собой proxy-сервер HTTP и сканирует входящий из Internet трафик для выявления элементов ActiveX, апплетов Java и сценариев. AppletTrap проверяет входящий код трижды. Во-первых, на наличие у элементов ActiveX цифровых сертификатов Microsoft Authenticode или каких-либо сертификатов у апплетов Java. Неподписанный код или код с неизвестными подписями можно заблокировать на шлюзе.

Во-вторых, продукт может блокировать вредоносные апплеты Java и JavaScript на основании информации из постоянно обновляемой базы данных об уже известных апплетах. Администраторы могут сами добавлять информацию в базу данных, а также блокировать апплеты, приходящие с адресов из «черного» списка.

В-третьих, апплеты, прошедшие первые две проверки, помещаются в следящий код на proxy-сервере и отсылаются клиенту. Последний запускает апплет в «песочнице». В процессе его работы следящий код проверяет, соответствует ли его поведение заданной администратором политике. Если нет, он прекращает выполнение кода, извещает пользователя и администратора о нарушении политики и добавляет апплет в базу данных вредоносного кода. Апплеты, не нарушающие политику, извлекаются из «песочницы» и запускаются без помех. Для изоляции агент на клиенте не требуется.

Proxy-сервер работает под управлением Windows NT/2000 и Solaris 2.6. Административная консоль использует Internet Explorer или Netscape Navigator как для локального, так и для удаленного доступа. AppletTrap запускается в качестве отдельного proxy-сервера или модуля Check Point Firewall-1. Его также можно интегрировать с другими антивирусными решениями Trend Micro.

Tiny Software. Компания Tiny Software включила функциональность «песочницы» в свой пакет Personal Firewall 3.0 Network Edition. Она блокирует исполняемый код элементов ActiveX, Java и т. д., а также следит за реестром Windows, системными службами, запросами, файловой системой и портами IP. «Песочница» предотвращает любые действия, если они не соответствуют предопределенному администратором поведению: например, попытки изменить или удалить отдельные файлы.

Администраторы могут конфигурировать и следить за этим персональным брандмауэром через контроллер домена Windows NT/2000. Клиентская часть работает в операционных системах Microsoft от Windows 98 до XP.

Okena. Пакет StormWatch компании Okena представляет собой многофункциональный агент на клиенте и работает в качестве IDS для хоста, персонального брандмауэра и упреждающего блокиратора «червей» и вирусов. Например, кроме блокирования запуска вредоносного кода StormWatch может запрещать сканирование портов и предотвращать переполнение буфера. Он доступен как для серверов, так и для персональных компьютеров.

Пакет StormWatch внедряет в ядро операционной системы агента для перехвата системных запросов в режиме реального времени. Агент сравнивает системные запросы с заданными правилами. Запросы, указывающие на вредоносное поведение, блокируются.

Вместо использования «песочницы» StormWatch просто следит за каждым приложением. Рядом с ядром помещаются четыре его компонента: перехватчики файлов и сетевого трафика, обращений к реестру и объектам COM. Для классификации перехватываемых действий они координируются подсистемой правил.

Консоль управления отвечает за обновление политики на механизмах правил, последние отсылают на консоль сообщения о тревоге и данные журналов событий. StormWatch включает в себя 12 готовых политик для целого ряда приложений, в том числе Microsoft Office (включая Outlook) и Instant Messenger. Администраторы могут создавать свои политики.

Агент и управляющий сервер StormWatch работают под управлением Windows NT/2000. Управляющей консоли требуется Internet Explorer 5 или Netscape 4.7х.

Мнения пользователей

По словам тех администраторов, кто воспользовался продуктами блокирования поведения, в целом технология выполняет свою функцию — перехватывает неизвестные «черви», вирусы и другой вредоносный код, пропускаемый антивирусным ПО. Конечно, они не преминули упомянуть некоторые проблемы, включая ложные тревоги, трудности установки, а иногда и ошибки в продуктах.

Администратор компании, занимающейся нестанционарным оборудованием, использует Finjan SurfinShield примерно на 600 компьютерах. Поначалу его внимание к продукту было вызвано обилием поступающих через Outlook вирусов. И хотя компания не пострадала, он убедился в необходимости Finjan. Его впечатления от работы с подобного рода ПО неоднозначные. «Нельзя недооценивать время и силы, потраченные на его создание», — замечает он.

По его словам, проблема ложных тревог дает о себе знать довольно часто, причем не только с «самодельными» приложениями: причинами сообщений о тревоге становятся почти любые программы.

С другой стороны, он смог убедиться в защитных способностях SurfinShield. Во время перехода с Windows NT на Windows 2000 машины подверглись атаке вируса Goner. Несколько компьютеров без SurfinShield оказались заражены, но машины, защищенные данным продуктом, успешно отразили атаку.

Администратор подтвердил, что продолжит пользоваться SurfinShield вкупе с традиционным антивирусным ПО. Он рассчитывает на блокирование поведения как средство защиты от только что появившихся вирусов, так как это дает ему время на установку обновлений.

Тони Нельсон работает директором по ИТ в компании StarPoint Solutions, разрабатывающей деловые приложения. Защиту четырех шлюзов Internet и примерно 400 ПК он обеспечивает с помощью Aladdin eSafe Enterprise и eSafe Gateway.

Воспользоваться решениями упреждающей защиты его заставила атака вируса Melissa, из-за которого нью-йоркский офис выбыл из рабочего процесса на целый день. И хотя в системе было установлено антивирусное ПО, не все пользователи имели последние обновления.

У Нельсона положительные впечатления от работы eSafe. «Шлюз перехватывает 99% поступающих вирусов, — говорит он. — Они могут оказаться на компьютере, только если кто-то подключает к сети ноутбук с непроверенным ПО». Он доволен, что пользователи не могут отключить клиент eSafe или изменить его настройки. Но, несмотря на отличную работу данного продукта, расставаться с антивирусным ПО на базе сигнатур Нельсон не собирается. «Меня устраивает наличие двух разных решений. В наши дни перестраховка не помешает», — утверждает он.

Администратор в большой страховой компании использует Okena StormWatch на 500 удаленных ПК, с которых сотрудники подключаются к корпоративной сети через Internet. Он применяет продукт в качестве брандмауэра, но высоко оценивает его возможности по перехвату нежелательного кода. «Система достаточно умна, чтобы отличить системный файл от вируса Nimda», — подчеркивает он.

Легкость настройки и внедрения правил приятно удивили его. Ему также нравится, что StormWatch незаметен для пользователей и не беспокоит их множеством тревожных сообщений, что, в свою очередь, уменьшает число обращений к администратору: «При возникновении проблем агент оповещает главную консоль, и я уже в курсе событий. Затем я меняю политику и распространяю ее по подключенным к сети компьютерам».

Новое лицо антивирусных программ

Некоторые эксперты видят за блокированием поведения будущее и полагают, что данная технология вытеснит антивирусные продукты на базе сигнатур. В конце концов, если установленные блокираторы справляются со своей задачей, зачем нужен еще один уровень программ, к тому же требующий обновлений и ежемесячных расходов на подписку?

Разделение доходов на рынке защиты данных на 2000 г. по сегментам

Рисунок 2. По данным IDC, поставщики традиционных антивирусных решений, в том числе McAfee и Symantec, владеют львиной долей рынка управления контентом. Компании, предлагающие блокираторы поведения, претендуют всего на 1,5% рынка. Остальная часть принадлежит поставщикам ПО контроля доступа в Internet (IAC) и сканирования электронной почты.

Это хороший вопрос, ответ на него можно разделить на две части. Первая — экономическая. С точки зрения долей рынка ПО блокирования поведения — всего лишь рябь, но никак не волна. По данным исследования IDC (см. Рисунок 2), компании, выпускающие подобные продукты, занимают всего 1,5% рынка. Для сравнения — компании, разрабатывающие антивирусные программы, имеют почти 83% (остальная часть относится к программам сканирования почты и контроля доступа в Internet).

Согласно прогнозу IDC, рынок продуктов блокирования поведения будет расти более быстрыми темпами, чем рынок антивирусных программ (29% годового прироста против 14%), но, даже несмотря на это, в 2005 г. поставщики антивирусов получат 2,7 млрд долларов, а их конкуренты даже не перейдут границу в 900 млн долларов. Поэтому крах антивирусных компаний в ближайшее время маловероятен.

Вторая — практическая. Неоспоримое достоинство традиционной антивирусной технологии заключается в ее определенности. Цифровые «отпечатки» четко идентифицируют вирусы и позволяют без проблем удалить их. В результате администраторам не приходится тратить время на создание детальных правил безопасности, исследование подозрительного кода на вредоносность или объяснения руководству причин зависания приложений Web. Кроме того, антивирусная технология позволяет очищать зараженные системы, чем блокираторы поведения похвастаться не могут.

В итоге можно сказать, что антивирусное ПО никуда не денется. Но все же, со стороны поставщиков таких решений было бы неразумно игнорировать технологию блокирования поведения (помните историю о Давиде и Голиафе?), так как их продукты не могут защитить от нового типа угроз.

Скорее всего, лидеры рынка используют свое доминирующее положение, чтобы поглотить компании, разрабатывающие блокираторы поведения, путем партнерства, приобретения или разработки собственных технологий.

Например, компания McAfee уже пошла по этому пути. В ноябре 2001 г. она заключила договор с Finjan об интеграции подсистемы сканирования McAfee в линейку решений последней. В апреле 2002 г. Aladdin подписала соглащение с «Лабораторией Касперского» о предложении антивирусного модуля компании покупателям eSafe.

Компания Symantec также обратила внимание на блокираторы поведения. В марте 2002 г. Кэри Нахенберг, главный архитектор команды быстрого реагирования Symantec, опубликовала документ под названием «Блокирование поведения: следующий шаг в защите от вирусов» на Web-сайте SecurityFocus.com (см. врезку «Ресурсы Internet»). И хотя в нем напрямую не сказано о разработке подобного продукта, ясно, что Symantec крепко задумалась о будущем антивирусной технологии.

Компания Trend Micro запустила услугу под названием Outbreak Commander, где блокирование поведения используется для сокращения времени между появлением вируса и созданием и распространением подписей. При получении образца вируса или «червя» компания создает специальную политику для идентификации и остановки любого вредоносного поведения.

Так, во время одной из волн атак, у инженеров Trend Micro уже готовая политика появилась всего через 20 мин. Для сравнения, на создание полноценной сигнатуры ушел почти час. Такое оригинальное использование блокирования поведения с помощью правил значительно уменьшает «окно уязвимости». Но все же это неполноценный механизм упреждающей защиты, так как клиентам приходится ждать, пока Outbreak Commander «отловит» образец вируса или «червя» и создаст обновление.

Администраторам было бы неразумно отказываться от антивирусных сигнатур, равно как и забывать о блокировании поведения. Все новые вирусы продолжают преодолевать преграды, и данная технология обеспечивает оперативную защиту. Время, потраченное на создание правил и отсев ложных тревог, окупится с лихвой, когда вредоносный код будет отброшен от вашей сети за целые часы до выхода первой антивирусной сигнатуры. Борьба за выживание опять становится честной.

Рассматриваемые продукты

Aladdin http://www.esafe.com

• eSafe Gateway, eSafe Enterprise

Finjan Software http://www.finjan.com

• SurfinGate, SurfinGate for E-mail, SurfinShield Corporate

Okena http://www.okena.com

• StormWatch

Pelican Security http://www.pelicansecurity.com

• SafeTNet

Tiny Software http://www.tinysoftware.com

• Personal Firewall 3.0 Network Edition

Trend Micro http://www.trendmicro.com

• InterScan AppletTrap

Ресурсы Internet

Дополнительную информацию о продуктах блокирования поведения на базе серверов можно почерпнуть в статье Э. Конри-Мюррея «Сервер Web на замке» в мартовском номере «Журнала сетевых решений/LAN» за 2001 г., а также по адресу: http://www.osp.ru/ lan/2002/03/098.htm.

Статья Кэри Нахенберг «Блокирование поведения: следующий шаг в защите от вирусов» опубликована по адресу: http://online.securityfocus.com/infocus/1557/.

назад

Решения VERITAS для восстановления информации после катастроф

По данным Департамента Труда США 43% компаний пострадавших от катастроф не смогли продолжить свою деятельность. 29% фирм возобновивших работу после непредиденных ситуаций прекратили деятельность в течение двух лет.

Данные, хранимые в сети любого предприятия, являются наиболее ценным его активом. Несомненно, что для нормального функционирования необходима постоянная доступность данных. Но что произойдет в случае какого-либо события, потенциально способного повлечь потерю данных или сделать их недоступными в течение продолжительного времени? Ваши данные и бизнес «катастрофоустойчивы» ? И в какой степени? К серьезным последствиям могут привести множество событий различного характера: ошибки и поломки оборудования и программного обеспечения, сбои электропитания, ошибки персонала, интервенции злоумышленников, компьютерные вирусы, стихийные бедствия, пожары, аварии коммунальных сетей. Потеря важных данных или их временная недоступность может привести к серьезным снижениям эффективности бизнесс-процессов вплоть до прекращения деятельности фирмы.

В связи с этим, при составлении стратегии ликвидации критических ситуаций необходимо обращать особое внимание на меры, позволяющие помимо гарантированного выполнения основной задачи приводить информационное хранилище предприятия в рабочее состояние в максимально короткие сроки.

Компания VERITAS предоставляет комплекс программных средств, способных работать как вместе, так и независмо друг от друга, с высокой эффективностью сводить на нет последствия катастроф. Это так называемые DR( Disaster Recovery)-решения. Тому, кто собирается составить DR план, VERITAS предлагает решения любого уровня, гибкие для обеспечения дальнейшего роста компании и не зависящих от используемых платформ и приложений.

Базовый уровень. Этот уровень DR-решений дает уникальную возможность гибкого управления и мониторинга данных. Фактически, это первая линия защиты ваших данных. Средства подобные VERITAS Volume Manager( предоставляют легкие средства для менеджемента устройствами хранения данных, выполняя постоянный мониторинг ресурсов. Это средство позволяет привести хранилище данных в рабочее состояние в кратчайщие сроки после имевщей место аварии. А при использовании мощного средства управления файловой системой VERITAS File System( можно избежать многих ситуаций, приводящих к сбоям. Стабильность работы средств базового уровня позволяет осуществлять переконфигурирование систем хранения данных без прекращения работы пользователей и полной остановки системы, обеспечивая непрерывный доступ к данным.

Резервное копирование и восстановление данных. Наличие надежной резервной копии — основа любого DR плана. VERITAS предлагает широкий спектр продуктов управления резервным копированием и ресурсами off-line хранения для сети любого масштаба. Резервная копия важный элемент в защите данных. Но управление процессами копирования, и в особенности лентами, часто вызывает серьезные трудности у компаний. Средства VERITAS такие как Backup Exec и NetBackup делаю эту задачу простой. ПО VERITAS позволяют ускорить процесс восстановления информационных ресурсов после катастроф минимизируя число требуемых шагов благодаря использованию специальной опции Intelligent Disaster Recovery и технологии ODBR (One-Button Disaster Recovery) использующих технологии восстановления серверов без предварительной полной установки операционной системы. Единое решение для всех операционных систем и основных бизнес-приложений позволяет сократить потребности в обслуживаемом персонале, тем самым уменьшив вероятность ошибок при администрировании системы резервного копирования, и снизить затраты на его обучение.

Репликация и кластеризация. Этот уровень обеспечивает для важных бизнес-приложений наилучшую степень защиты в случае возникновения события различной степени тяжести. Репликация данных на другую территориально-расположенную систему хранения обеспечивает надежный полноценный доступ к данным в случае выхода из строя основного хранилища. Кластеризация в пределах одного или нескольких хранилищь данных также позволяет строить системы с высочайщим уровнем непрерывного доступа к данным. VERITAS Volume Replicator( органичное средство для репликации файловых систем или баз данных, используя LAN или WAN. VERITAS Cluster Server( обеспечивает непрерывность функционирования важнейших приложений, а в комбинации с Volume Replicator( образуют полнофункциональное средство для бесперебойной работы предприятия.

В настоящее время уменьшается процент использования традиционной архитектуры хранения данных DAS (Direct Attached Storage), в тоже самое время новые топологии NAS и SAN занимают доминирующее положение. При использовании SAN, дисковые устройства управляются посредством специализированного ПО для виртуализации ресурсов хранения, которое предоставляет в распоряжение серверов подключенных к SAN логические тома. Это отвечает потребностям пользователей, желающих динамически менять размеры логических томов, повысить доступность данных в сети и производительность системы резервного копирования. В тоже самое время это увеличивает число используемых платформ и клиентов, пользующихся данными, что ведет к некоторому усложнению процессов восстановления данных. VERITAS предлагает свои продукты виртуализации, которые позволяеют устранить эту проблему.

Илья Воробьев, Invorob@stinscoman.com