Национальная служба экономической разведки

(383) 201-22-22, (383) 201-83-52

г. Новосибирск, ул. Железнодорожная, 6/2

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

Организация антивирусной проверки корпоративных хранилищ данных

Сканирование локальных дисков на ПК сотрудников — рядовая автоматическая операция, не влияющая на работу пользователя. Однако проверка серверов, особенно в экстренном режиме при расследовании инцидентов, когда требуется просканировать все корпоративные хранилища (а это сотни гигабайт), представляет собой более сложную задачу. Ключевые требования: гарантированная целостность информации и отсутствие ощутимого для персонала снижения быстродействия

 

План действий

  1. Подготовка оборудования

Убедитесь, что устройство, с которого будет выполняться сканирование, соответствует требованиям. На нем должна быть установлена актуальная версия ОС со всеми обновлениями. Система обязана корректно взаимодействовать с любыми проверяемыми носителями: поддерживать длинные имена файлов (включая Unicode), работать с данными на разделах, чувствительных к регистру, и обрабатывать объекты огромного размера. Для оптимальной скорости необходим мощный CPU с большим количеством ядер, достаточный объем оперативной памяти и высокоскоростное локальное хранилище для временных данных. Подключение к проверяемым дискам должно быть максимально быстрым: прямое (local storage) либо через высокопроизводительный сетевой протокол (предпочтительно на базе SAN).

 

  1. Резервное копирование и анализ данных

До начала работ убедитесь в актуальности бэкапов. Несмотря на то, что сканирование теоретически не вредит данным, в условиях потенциального заражения или повреждений необходим запасной план. Проверьте дату создания и полноту последней резервной копии, а также успешность предыдущих восстановлений. Если свежих копий нет, взвесьте риски и, возможно, создайте бэкап особо важных массивов перед стартом.

Изучите специфику информации на дисках и технические нюансы хранилища — это поможет точнее настроить параметры проверки. Используется ли RAID? Если да, то какой тип? Решите, имеет ли смысл параллельная проверка разных дисков. При наличии независимого доступа к носителям рассмотрите вариант запуска сканирования с нескольких машин. Если же используется один мощный компьютер, ограниченный скоростью ввода-вывода, на нем можно запустить несколько потоков проверки одновременно.

Характер контента существенно влияет на нагрузку. Если хранилище содержит множество мелких разнородных файлов или плотно упакованные архивы, потребление ресурсов (процессора, памяти, диска) будет высоким. Нагрузка снижается, когда основную массу занимают крупные файлы "безопасных" форматов (например, видеоисходники, базы данных, заведомо чистые резервные копии).

 

  1. Планирование и исключения

Оптимальное время для глубокой проверки — период минимальной активности пользователей (ночные часы, выходные). В идеале стоит временно отключить проверяемые ресурсы из общего доступа или хотя бы предупредить сотрудников о возможных задержках.

Проконтролируйте наличие свободного места на дисках. В процессе может потребоваться распаковка архивов и образов, что требует дополнительного пространства. Также настройте карантин: если будет обнаружено много угроз, хранилище карантина может переполниться, что приведет к удалению старых образцов. Заранее выделите для него достаточно места.

Продумайте политику исключений, чтобы сократить время проверки. Обычно исключают:

  • Очень крупные файлы (пороговое значение определяется индивидуально: от 100 МБ до нескольких ГБ);
  • Дистрибутивы и резервные копии;
  • Файлы, не менявшиеся с момента последнего сканирования;
  • Заведомо неисполняемые типы файлов (хотя здесь нужна осторожность: вредоносный код может маскироваться в графике или тексте, поэтому паранойя иногда полезна).

Очистите систему от временных файлов и папок, чтобы не тратить на них ресурсы.

 

  1. Настройки сканирования

Параметры проверки задаются, исходя из предыдущего анализа и типа данных. Установите лимиты использования CPU и оперативной памяти. Если сервер будет выведен из эксплуатации на время проверки, можно выделить до 80% ресурсов (выше — возможны проблемы с откликом системы). Для рабочего сервера эти значения необходимо существенно снизить.

В консоли управления антивирусом активируйте технологии iChecker и iSwift, ускоряющие проверку неизмененных файлов. Также включите опции для снижения нагрузки: запрет на одновременный запуск нескольких задач и режим проверки только новых/измененных объектов. Отключите анализ архивов с паролями, чтобы процесс не останавливался в ожидании ввода ключа.

 

  1. Тестирование и поэтапный запуск

Перед тотальным сканированием проведите тест на небольшом участке данных (объемом до терабайта). Оцените, как это влияет на производительность сервера и пользователей, замерьте примерную длительность процесса и изучите журналы на наличие ошибок. Если тест идет слишком долго, проанализируйте логи, чтобы выявить "бутылочное горлышко". После корректировки параметров можно планировать основную проверку.

Даже после успешного теста не рекомендуется запускать полное сканирование всего массива одной задачей. Оптимально разбить хранилище на сегменты (например, по отдельным дискам) и создать для каждого отдельную задачу. Это минимизирует риск фатального сбоя, который потребует перезапуска всего процесса. По умолчанию такие задачи лучше выполнять последовательно, но если конфигурация позволяет, независимые диски можно сканировать параллельно.