Смекни!
smekni.com

Проектирование информационной системы фильтрации от спама почтового сервера ОАО Ростелеком (стр. 4 из 5)

- Передача данных различных типов с гарантированными параметрами качества;

- Корпоративная телефонная связь с филиалами с поддержкой единого плана внутренней нумерации;

- Видеоконференцсвязь для проведения дистанционных совещаний между распределенными офисами;

- Доступ к сети Интернет;

- Организация системы защищенного электронного документооборота, работы с конфиденциальными информационными источниками и базами данных.

ОАО "Ростелеком" и компания "Энвижн Груп" создали проект по созданию системы защиты от спама на базе программно-аппаратного комплекса компании IronPort (подразделение Cisco Systems). Реализованное решение представляет собой высокопроизводительную систему фильтрации и очистки электронной почты от нежелательной корреспонденции (спама) и вредоносного программного обеспечения.

Внедрение данной системы позволило оператору добиться значительной экономии ресурсов: каналов передачи данных, потребляемого почтового трафика (большая часть спама отсеивается на этапе установки соединения), человеческих и временных ресурсов на обслуживание и администрирование системы.

В ходе проекта компания "Энвижн Груп" выполнила комплекс работ по проектированию, настройке и тестированию системы защиты от спама. При разработке решения учитывались такие требования "Ростелеком", как обеспечение высокой пропускной способности системы, реализация максимально высокого процента фильтрации нежелательной почты и минимального процента ложных срабатываний; кроме того, система должна быть простой и удобной в администрировании.

Технологической основой решения стала система защиты от спама компании IronPort. Особенностью системы является ее архитектура, обеспечивающая максимальную пропускную способность и скорость обработки сообщений, а также механизм репутационных фильтров на базе международного сетевого сервиса репутаций IronPort Sender Base. Программно-аппаратный комплекс IronPort осуществляет потоковую многоступенчатую фильтрацию поступающего почтового трафика согласно политике безопасности "Ростелеком".

Система защиты от спама обеспечивает возможность блокировки и удаления нежелательных электронных сообщений, позволяет управлять подключениями: группировать сообщения, направленные на общий домен; формировать отдельную очередь сообщений для недоступного домена; определять и классифицировать различные IP-адреса для исходящей почты; обеспечить открытие одного подключения для нескольких сообщений. “Являясь лидером в области защиты почтового и веб-трафика, IronPort обеспечивает надежную защиту передаваемой по этим каналам информации крупнейшим компаниям в мире, - говорит Мирко Шнайдер (Mirko Schneider), региональный менеджер IronPort в России и странах Восточной Европы. - Мы гордимся тем, что смогли доказать качество своей работы и в «Ростелекоме».

Зарубежные вендоры нередко сталкиваются со спецификой русскоязычного рынка: спам, вирусы и фишинг в кириллице требуют гораздо больше ресурсов для отслеживания и защиты от них. Тем не менее, глобальная мониторинговая система SenderBase и cовершенная технология антиспама не оставляют электронным угрозам никаких шансов, будь то в США, России, Китае или Ботсване".

«Реализованная «Энвижн Груп» система фильтрации и очистки почтового трафика призвана повысить надежность и работоспособность всей почтовой системы компании. Сегодня система защиты от спама должна строиться на базе современных технологий защиты информации и отвечать всем необходимым нормативно-техническим стандартам отрасли. Именно такую систему предложил нам интегратор. Решение на базе продуктов IronPort дает возможность осуществлять мониторинг всех входящих и исходящих сообщений в режиме реального времени».

При реализации проекта стояла задача создать высокопроизводительное решение, наиболее полно отвечающее текущим и стратегическим задачам заказчика. Решение IronPort неоднократно доказало свою надежность и производительность за рубежом и, в первую очередь, на операторском рынке. Для России это был первый опыт такого масштаба, поэтому важно было изучить, насколько применимы для наших заказчиков западные решения такого класса». Схема фильтрации электронной почты в организации ОАО «Ростелеком».

По данной схеме видно, что поступающее сообщение на сервер содержит: техническую информацию и содержание сообщения. На сервере происходит фильтрация сообщения. Фильтрация сообщения включает в себя анализ формальных признаков и контент-анализ. Контент-анализ содержит в себе антисам базу лингвистической лаборатории, где происходит обновление базы. После того как сообщение было проанализировано, оно отправляется на бизнес логику, где происходит выбор что делать с данным сообщением, если оно содержит спам то его отправляют на карантин и удаляют. Если не содержит, то сообщение проходит дальше по цепочке по назначению.

Вывод: В данной главе была рассмотрена характеристика и деятельность организации ОАО «Ростелеком», виды предоставляемых услуг, такие как телефонная связь, факсимильная связь, видеоконференции и многое другое. Так же было рассмотрено качество обслуживания клиентов по данным видам услуг. Были рассмотрены филиалы, протяженность оптоволоконных связей.

Во второй под главе был рассмотрен метод фильтрации электронной почты от спама в данной организации, где данное программное средство было разработано в сотрудничестве с компанией Энвижен Групп. Данная система Iron Port показывает наилучшую способность проверки, удаления на карантин или прохождение сообщения по назначению. Внедрение данной системы позволило оператору добиться значительной экономии ресурсов: каналов передачи данных, потребляемого почтового трафика, человеческих и временных ресурсов на обслуживание и администрирование системы.


2.3 Устройство IronPort для защиты от вирусов и спама

Немного информации об устройстве для защиты от вирусов и спама, которая работает с организацией ОАО «Ростелеком».

Устройства IronPort для защиты от вирусов и спама построены на основе специализированных серверов 1U (IronPort C150) или 2U (IronPort С350, С650 и Х1050). Выбор той или иной модели обусловлен требованиями к производительности решения и количеством почтовых ящиков, которые необходимо защитить.

В отличие от традиционных решений в основе устройств IronPort лежит собственная ОС AsyncOS. При создании AsyncOS была поставлена цель улучшить ключевые показатели работы файловой системы и системы работы с очередями сообщений. Так, в AsyncOS увеличено количество одновременных входящих или исходящих соединений. Кроме того, в ней была введена возможность обработки сообщений каждого почтового домена в отдельной очереди. Таким образом, при возникновении проблем с обработкой сообщений для одного домена не происходит падения производительности системы в целом.

Служба защиты от спама в устройствах IronPort организована на двух уровнях. Первый уровень защиты образуют так называемые репутационные фильтры. При попытке установить соединение для передачи почтового сообщения устройство проверяет репутацию узла, который пытается передать данное сообщение. Оценка репутации делается на основе запроса к SenderBase — крупнейшей службе анализа почтового трафика в Интернете. На основе полученной оценки репутации принимается решение о судьбе данного соединения: оно может быть отвергнуто (т. е. сообщение даже не будет принято к обработке), к нему может быть применена политика обработки (связанная, например, с ограничением количества сообщений с данного адреса), наконец, сообщение может быть принято без ограничений.

Вторым уровнем защиты выступает классический механизм борьбы со спамом на основе обновляемых правил. Письмо, определенное как спам, может быть удалено, соответствующим образом помечено или помещено в карантин. В последнем случае получатель письма сам принимает решение о его дальнейшей судьбе. Карантин бывает как внутренний, организованный внутри самого устройства, так и внешний — на базе специального устройства IronPort M-series.

Двухуровневая система защиты в устройствах IronPort позволяет эффективно блокировать как традиционный спам, так и новейшие разработки — графический спам и pdf-спам. Не возникает проблем и с защитой от русскоязычного спама.

Кроме того, в устройствах IronPort имеются встроенные средства антивирусной защиты, что позволяет применять их как единое средство защиты электронной почты компании, вместо того чтобы выстраивать цепочку из последовательно работающих антивирусных и антиспам-фильтров. Для борьбы с вирусами можно использовать продукты от Sophos или McAfee (или оба сразу). Алгоритмы обнаружения вредоносного кода у них примерно одинаковы и основываются на традиционных методах обнаружения вирусов — сигнатурном или эвристическом анализе и эмуляции. При обнаружении вируса в почтовом сообщении могут приниматься следующие меры: попытка вылечить файл, добавление или модификация заголовка письма, помещение в карантин или удаление сообщения.

Кроме описанных антивирусных средств в устройствах IronPort применяется фирменная технология защиты от неизвестных вирусов Virus Outbreak Filters. В ее основе лежит использование все той же службы SenderBase. Принцип работы Virus Outbreak Filters следующий. Предположим, что служба SenderBase фиксирует большое количество передаваемых сообщений, содержащих в качестве вложения zip-файл размером около 50 Кбайт. Предполагая начало вирусной эпидемии, система рассылает на все устройства IronPort обновление, отправляющее в карантин все сообщения такого рода. Спустя некоторое время выясняется, что вирус могут содержать сообщения с вложенным zip-файлом размером ровно 53 Кбайт. Письма с вложениями другого размера освобождаются из карантина, а оставшиеся ожидают выхода обновления антивирусных баз, умеющих определять данный тип вируса.