Форум регионального информационного ресурса

[Administrator]

В рамках проведения работ по повышению уровня информационной безопасности защищенной корпоративной сети передачи данных министерства здравоохранения Краснодарского края (далее – ЗКСПД МЗКК) в целях защиты информации от вредоносного воздействия компьютерных вирусов и предотвращения несанкционированного доступа, для обеспечения конфиденциальности и целостности информации реализован пилотный проект по развёртыванию подсистемы антивирусной защиты на базе продуктов ЗАО «Лаборатория Касперского» в выделенных сегментах ЛВС учреждений, предназначенных для работы с РИР.

В рамках данного проекта ГБУЗ МИАЦ проведены следующие работы:

1. В ЗКСПД МЗКК развёрнут центр администрирования Kaspersky Security Center 10 для удаленной установки антивирусных средств, установки имеющегося ключа лицензии (7681 рабочее место до 28 февраля 2015 года) и в качестве центра обновления антивирусных баз.
2. Протестирована работа Антивируса Касперского 8.0 Linux File Servers в ЗКСПД МЗКК на серверах типовой МИС под управлением CentOS 6.x и терминальных станциях DEPO.
3. Разработана инструкция по быстрому развертыванию Антивируса Касперского 8.0 Linux File Servers на типовых серверах под управлением CentOS 6.x и терминальных станциях DEPO.

На данном этапе работ техническим специалистам учреждений здравоохранения Краснодарского края предлагается принять участие в развёртывании подсистемы антивирусной защиты, а именно:

1. Установить согласно предложенной инструкции средства антивирусной защиты на рабочие места в выделенном сегменте ЛВС учреждения, предназначенном для работы с РИР.
2. Провести тестирование работы средств антивирусной защиты в ходе повседневной эксплуатации технических средств.
3. Выработать вопросы, предложения, замечания и выводы по результатам проведенных работ.

Вопросы, предложения, замечания и выводы желательно оформлять и направлять средствами электронной почты в адрес отдела информационной безопасности, либо публиковать в данной ветке форума.

Обращаем особое внимание на обеспечение сохранности служебных данных и программных средств в ходе тестовой эксплуатации антивирусных средств.

Инструкция по установке Антивируса Касперского 8.0 Linux File Servers

Часть 1. Установка сетевого агента:

1. Скачать дистрибутив сетевого агента (агента администрирования) по ссылке http://support.kaspersky.ru/linux_file80#downloads (klnagent_10.1.0-61_i386.deb для терминальной станции DEPO или klnagent-10.1.0-61.i386.rpm для серверов на базе CentOS 6.х).
2. На целевой машине (терминальная станция или сервер) проверить доступность центра администрирования командой:
   

   Код: выделить все

   ping 10.0.10.9

   Продолжить установку только в случае доступности ресурса.
3. Выполнить резервное копирование данных на целевой машине. Продолжить установку только в случае уверенности в сохранности данных и возможности их восстановления.
4. Скопировать скаченный дистрибутив сетевого агента на целевую машину.
5. Локально запустить процесс установки сетевого агента с правами учетной записи root:
   Чтобы установить Агент администрирования из .rpm-пакета, выполните следующую команду:
   

   Код: выделить все

   # rpm -i klnagent-10.1.0-61.i386.rpm

   
   Чтобы установить Агент администрирования из .deb-пакета, выполните следующую команду:
   

   Код: выделить все

   # dpkg -i klnagent_10.1.0-61_i386.deb

6. Ответить на вопросы постинсталляционного скрипта настройки:
   
   • Задать IP-адрес сервера администрирования: 10.0.10.9.
   • Задать номер порта для подключения к серверу: 14000.
   • Задать номер SSL-порта для защищенного подключения к серверу: 13000.
   • Использование SSL-соединение для передачи данных: ДА (yes).
   • Использование агентов обновления: не настраивать (2).
7. Выполнить команду:
   

   Код: выделить все

   # mkdir -p /var/log/kaspersky/klnagent

8. Проверить корректность установки и работы сетевого агента командой:
   

   Код: выделить все

   # /opt/kaspersky/klnagent/bin/klnagchk

   Найти в выводе текст:
   «Connecting to server...OK
   Connecting to the Administration Agent...OK»

Часть 2. Установка антивируса Касперского 8.0 Linux File Servers выполняется удаленно через центр администрирования. Обращаться по телефонам отдела информационной безопасности ГБУЗ МИАЦ 8 (861) 268-99-73 доб.127, 8 (861) 279-70-78 доб.137.

Часть 3. В случае возникновения проблем при установке сетевого агента антивируса Касперского в большинстве случаев их можно решить перечисленными способами:

1. Проверить доступность сервера управления и обеспечить его доступность:
   

   Код: выделить все

   ping 10.0.10.9

2. Если после установки сетевого агента не запустился скрипт конфигурации. Запустить скрипт конфигурации вручную можно командой:
   

   Код: выделить все

   # /opt/kaspersky/klnagent/lib/bin/setup/postinstall.pl

3. Проверить работоспособность сетевого агента можно командой:
   

   Код: выделить все

   # /opt/kaspersky/klnagent/bin/klnagchk

   
   В выводе команды найти строки:
   «Connecting to server...OK
   Connecting to the Administration Agent...OK»
4. Перезапустить сетевой агент можно командой:
   

   Код: выделить все

   # /etc/init.d/klnagent restart

5. В случае некорректной установки можно поочередно выполнить команды:
   

   Код: выделить все

   /opt/kaspersky/klnagent/bin/klmover
/opt/kaspersky/klnagent/bin/klmover -dupfix -address 10.0.10.9

В процессе установки можно использовать официальные руководства ЗАО «Лаборатории Касперского»:

1. «Руководство по установке»
2. «Руководство администратора»

[Boroda]

Утро доброе!

Вчера с успехом установил Касперского на ТС и БД + одну терминальную станцию, перед установкой были сделаны снапшоты по рекомендации Дмитрия Тороп.
Есть вопросы по еще 4 станциям, с которых не пингуется 10.0.10.9.

[Administrator]

Добрый день. Необходимо определить причину отсутствия связи с сервером управления, в Вашем случае не прописаны туннели для IP-адресов защищенного сегмента на координаторе учреждения (не были доступны и другие ресурсы защищенной сети). Необходимо прописать туннели, если на этих адресах не стоит Випнет клиент.

P.S.

Вчера с успехом установил Касперского на ТС и БД + одну терминальную станцию,

Уточнение, Вами были поставлены Сетевые агенты администрирования, установка самого антивируса будет осуществляться удаленно с сервера администрирования в ближайшее время.

[Boroda]

Добрый день. Необходимо определить причину отсутствия связи с сервером управления, в Вашем случае не прописаны туннели для IP-адресов защищенного сегмента на координаторе учреждения (не были доступны и другие ресурсы защищенной сети). Необходимо прописать туннели, если на этих адресах не стоит Випнет клиент.

Мне обращаться в РосИнтер или Вы можете помочь в этом вопросе ?

Уточнение, Вами были поставлены Сетевые агенты администрирования

Принято.

[Administrator]

Мне обращаться в РосИнтер или Вы можете помочь в этом вопросе ?

Необходимо обратиться в организацию, осуществляющую сопровождение Vipnet-координатора в Вашем учреждении.

[ITS]

Здравствуйте. В интерфейсе ТС сервер 10.0.10.9 не пингуется. Если запустить сессию с ТС, то в ней сервер 10.0.10.9 пингуется. Хотелось бы уточнить: куда всё же планируется установить клиент администрирования, на виртуальный сервер, и/или непосредственно на сами терминальные станции?

[Administrator]

Здравствуйте. В интерфейсе ТС сервер 10.0.10.9 не пингуется. Если запустить сессию с ТС, то в ней сервер 10.0.10.9 пингуется.

Необходимо определить причину отсутствия связи с сервером управления: проверить наличие туннелей на координаторе учреждения для ТС защищенного сегмента без Vipnet client; если на ТС защищенного сегмента стоит Vipnet client, то проверить наличие связей с координатором ГБУЗ МИАЦ; проверить маршрутизацию до целевого сервера; проанализировав данные, обратиться за помощью в организацию, сопровождающую Vipnet и/или сетевое оборудование.

Хотелось бы уточнить: куда всё же планируется установить клиент администрирования, на виртуальный сервер, и/или непосредственно на сами терминальные станции?

Данная инструкция предусматривает установку как на сервера, так и на терминальные станции.

[PuNKeR]

Установил агента администрирования Касперского на сервера (БД и ТС), на все терминалки (кроме одной). На одной ТС возникли проблемы с доступностью ресурса, все остальные терминальные станции (с випнет и без) отлично пингуют 10.0.10.9.
Может нужно, что то прописать в конфигах (випнет)?

[gb1sochi]

Здравствуйте. Установили агенты администрирования Касперского на терминальные станции с установленными eToken, на остальных ресурс не доступен.

[akoshkarov]

Уважаемые коллеги!

По состоянию на 12:00 час 12 февраля 2015 г. в пилотном проекте по развёртыванию подсистемы антивирусной защиты на базе продуктов ЗАО «Лаборатория Касперского» в выделенных сегментах ЛВС учреждений, предназначенных для работы с РИР, приняли участие 9 медицинских организаций. Всего установлено 150 сетевых агентов (27% от количества терминальных станций участников).

Специалистами произведена установка 109 антивирусов на целевые машины с сетевыми агентами, что составляет 73%.
При установке антивируса Касперского 8.0 Linux File Servers на оставшиеся 27% терминальных станций возникли трудности по созданию директории в операционной системе. Специалисты продолжают искать пути выхода из сложившейся ситуации. О результатах будет сообщено на форуме.

Вместе с тем, благодарим всех, кто принял участие, и предлагаем продолжить работу по установке сетевых агентов на максимальное количество терминальных станций вплоть до 28 февраля 2015 года. После 28 февраля 2015 г. истекает срок действия имеющегося ключа лицензии. При этом, работоспособность установленных антивирусов в рамках пилотного проекта сохраняется.

Вопрос о получении нового ключа лицензии будет рассматриваться по результатам пилотного проекта.

[Administrator]

Найдено решение проблемы создания директории в операционной системе при установке антивируса Касперского 8.0 Linux File Servers на терминальные станции.

В топовое сообщении внесена соответствующая правка в "Инструкция по установке Антивируса Касперского 8.0 Linux File Servers" - добавлен п.7, предотвращающий ошибки при дальнейшей инсталляции Антивируса Касперского 8.0 Linux File Servers.

[Administrator]

В рамках пилотного проекта по обеспечению антивирусной защиты серверов и терминальных станций в выделенных сегментах ЛВС учреждений в отдел информационной безопасности МИАЦ поступали вопросы и замечания. По результатам их рассмотрения подготовлено данное информационное сообщение:

1. Вопрос о целесообразности установки антивирусного ПО на терминальные станции в выделенном сегменте сети при работе в терминальной сессии.

1.1 Актуальность проблемы.

Для борьбы с вредоносным кодом для Linux систем существуют антивирусные решения, которые, противодействуют как атакам на саму операционную систему, так и на сервисы, которые система оказывает. По данным Лаборатории Касперского известно 22628 уникальных вредоносных файлов для Linux систем.

Следует отметить, что почти половина всех известных вредоносых файлов относится к классу EXPLOIT - программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Основные векторы распространения вредоносного кода для платформ Linux:

1. уязвимости Linux и уязвимости в прикладных программах, которые осуществляют различные сервисы и «смотрят» во внешнюю среду, доступную со стороны злоумышленника.
2. крайне распространённым вектором, является подбор паролей или BRUTEFORCE-атака.
3. внедрение в бинарные файлы, которые затем кочуют с носителя на носитель и из сети в сеть. Могут долго оставаться незамеченными без специального антивирусного защитного решения.

1.2 Нормативные требования.

Согласно приказам ФСТЭК от 18 февраля 2013 г № 21 и от 11 февраля 2013 года № 17 меры по антивирусной защите являются базовыми. В частности меры АВ3.1 «Реализация антивирусной защиты» и АВ3.2 «Обновление базы данных признаков вредоносных компьютерных программ (вирусов)» должны быть реализованы для всех классов защищенности информационных систем персональных данных.

2. Вопрос о недоступности центра администрирования по адресу 10.0.10.9.

Необходимо выявить причину отсутствия связи с сервером управления на сетевом уровне со стороны учреждения стандартными инструментами сетевого администрирования и в случае необходимости обратиться за помощью в сопровождающую организацию. Зачастую проблема заключается в отсутствии необходимых настроек на координаторе для обеспечения доступа АРМ из выделенного сегмента к информационным ресурсам ГБУЗ МИАЦ.

[Administrator]

Предлагаем продолжить работу по установке сетевых агентов на максимальное количество терминальных станций и серверов выделенного сегмента. Срок действия имеющегося ключа лицензии продлён до 31 марта 2015 года. Работоспособность установленных антивирусов в рамках пилотного проекта сохраняется и после истечения срока действия ключа лицензии.

[Administrator]

Отчет о результатах работ по повышению уровня информационной безопасности защищенной корпоративной сети передачи данных министерства здравоохранения Краснодарского края за 1 квартал 2015 г.

1. Постановка задачи.

Одной из обязательных мер по защите информации (в т.ч. персональных данных) от вредоносного воздействия компьютерных вирусов и предотвращения несанкционированного доступа, для обеспечения конфиденциальности и целостности информации является реализация антивирусной защиты информационных систем.

Правовым основанием для реализации работ по антивирусной защите служат положения Приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - Приказ).

При выборе программного средства антивирусной защиты, на базе которого осуществлялся пилотный проект, руководствовались п. 8.6, п.12 Приказа.

Реализация пилотного проекта по развёртыванию подсистемы антивирусной защиты осуществлялась на терминальных станциях и серверах типовой МИС в выделенных сегментах ЛВС учреждений здравоохранения Краснодарского края, предназначенных для работы с РИР и имеющих доступ к защищенной корпоративной сети передачи данных министерства здравоохранения Краснодарского края (далее – ЗКСПД МЗКК).

По расчетам количество объектов защиты составило 7681, из которых 7201 – терминальные станции, 480 – сервера типовой МИС.

Ожидаемый результат от реализации пилотного проекта:

• повышение уровня информационной безопасности;
• предотвращению инцидентов, связанных с вирусной активностью;
• снижение рисков несанкционированного доступа к защищаемой информации.

Цели пилотного проекта:

• Тестирование работоспособности средств антивирусной защиты на аппаратных и программных платформах Объектов защиты.
• Выработка процедур и инструкций по инсталляции и эксплуатации средств антивирусной защиты, учитывая специфику пилотного проекта.
• Выявление типовых проблем эксплуатации средств антивирусной защиты.
• Выработка инструкций и процедур по решению типовых проблем эксплуатации средств антивирусной защиты.
• Оценка влияния эксплуатации средств антивирусной защиты на общую производительность Объектов защиты.

2. Организация работ.

На технической базе ГБУЗ МИАЦ в рамках ЗКСПД МЗКК развёрнут центр администрирования Kaspersky Security Center 10 для удаленной установки антивирусных средств, ключа лицензии, управления и мониторинга работоспособности установленных средств, и обновления антивирусных баз.

Разработана инструкция для участников пилотного проекта по развертыванию Антивируса на типовых серверах и терминальных станциях, включающая основные этапы:

1. Установка сетевого агента администрирования на объект защиты силами специалистов учреждения.
2. Удаленная установка антивируса силами специалистов ГБУЗ МИАЦ посредством центра администрирования Kaspersky Security Center 10.

3. Результаты пилотного проекта.

На технической базе ГБУЗ МИАЦ в рамках ЗКСПД МЗКК развёрнут центр администрирования Kaspersky Security Center 10 для удаленной установки антивирусных средств, ключа лицензии, управления и мониторинга работоспособности установленных средств, и обновления антивирусных баз.

По состоянию на 26 марта 2015 года в пилотном проекте по развёртыванию подсистемы антивирусной защиты на базе продуктов ЗАО «Лаборатория Касперского» в выделенных сегментах ЛВС учреждений, предназначенных для работы с РИР, приняли участие 22 учреждения здравоохранения. Всего установлено 334 сетевых агентов на 314 терминальных станций (27% от количества терминальных станций участников) и 20 серверов.

Произведена установка 320 антивирусов на целевые машины с сетевыми агентами. Из них 20 антивирусов установлено на сервера типовой МИС (100%) и 300 на терминальные станции (94%).

При установке антивируса на оставшиеся 6% терминальных станций возникли трудности с организацией их сетевой доступности.

Из общего числа 320 установленных антивирусных средств, 309 (94%) имеют актуальные (не менее 24 часов с момента последнего обновления) антивирусные базы, остальные 6% обновляются с задержкой, ввиду долговременного отсутствия связи с центром администрирования (терминальная станция не включена).

4. Решение нештатных ситуаций.

На 10 серверах различных версий ОС Linux CentOS после установки антивирусных средств не запускался плагин защиты в реальном времени, что было связано с отсутствием необходимых для компиляции плагина компонентов операционной системы. Данная проблема решалась путем установки необходимых компонентов операционной системы Linux штатными средствами и выработки соответствующей инструкции.

На некоторых терминальных станциях после установки сетевого агента не удавалось произвести удаленную установку антивируса. В ходе решения данной проблемы с привлечением специалистов производителя были обнаружены ошибки в ходе инсталляции продукта и с их учётом доработана инструкция по развертыванию Антивируса.

Возникали проблемы с организацией сетевой доступности целевых машин. Данные трудности находили решение в ходе индивидуального подхода к проблеме и корректировки работы сетевого оборудования учреждения.

Работа программного продукта «Антивирус Касперского 8.0 Linux File Servers» версии 8.0.2.256 протестирована на типовых серверах МИС под управлением ОС Linux CentOS 6.3, 6.4, 6.5, 6.6 и терминальных станциях DEPO под управлением OC Linux Debian 6.0.

5. Выводы.

По результатам проведения пилотного проекта все заявленные цели были достигнуты.

На Объектах защиты пилотного проекта достигнуты следующие результаты:

• повышение уровня информационной безопасности;
• предотвращению инцидентов, связанных с вирусной активностью;
• снижение рисков несанкционированного доступа к защищаемой информации.

Данные результаты подтверждаются обнаружением вредоносного программного обеспечение (вирусов) на терминальных станциях:

1. IM-Worm.Win32.VB.ln – на двух терминальных станциях.
2. Trojan.Win32.Inject.ggxk – на двух терминальных станциях.
3. Worm.Win32.Agent.bvh – на двух терминальных станциях.
4. Worm.Win32.Agent.bus – на одной терминальной станции.

Данные вирусы были обнаружены и уничтожены в автоматическим режиме установленными в рамках пилотного проекта антивирусными средствами. Об инциденте проинформированы ответственные сотрудники учреждения для принятия соответствующих организационных мер.

По результатам пилотного проекта антивирусное решение на базе программного продукта «Антивирус Касперского 8.0 Linux File Servers» версии 8.0.2.256 не получило негативных отзывов от специалистов учреждений, участвовавших в проекте. Объективных факторов, свидетельствующих о существенном снижении производительности серверов и терминальных станций, также не выявлено.

Выбранное программное решение удовлетворяет требованиям по информационной безопасности и может быть рекомендовано к использованию в информационных системах персональных данных на серверах и терминальных станциях под управлением операционных систем Linux CentOS 6.3, 6.4, 6.5, 6.6 и Linux Debian 6.0 с учетом сертификата соответствия ФСТЭК России по требованиям безопасности информации.