Введение

Вопросы импортозамещения в сфере информационных технологий наиболее остро проявились сразу после ввода первых санкций против России – после 2014 г. Для решения ряда возникших проблем, а более того – в порядке опережения появления возможных угроз для развития IT-технологий в России, правительством РФ был принят ряд постановлений по обеспечению возможностей замещения программного обеспечения (ПО) иностранных вендоров на отечественное и условно-бесплатное [1–4].

В порядке реализации поставленных задач, в бюджетных организациях (государственных учреждениях, образовательных и научных организациях, и, в частности, в ЦЭМИ РАН) в 2016 г. по приказу вышестоящих организаций была проведена инвентаризация используемого программного обеспечения с целью уточнения масштабов предстоящей деятельности и возможностей организаций по переводу IT-технологий на импортонезависимое функционирование. В процессе инвентаризации должны были рассматриваться как широко используемое ПО (операционные системы (ОС), офисные приложения, браузеры, средства работы с файлами), так и специальное – прикладные пакеты, научные, бухгалтерские и прочие программные комплексы.

Одним из достаточно важных серверных приложений являлось, и сейчас является, антивирусный/антиспамовый почтовый шлюз, успешно функционирующий в ЦЭМИ РАН в течение многих лет (с 2004 г.). В качестве антивирусного/антиспамового шлюза все это время использовались разработки компании Symantec, а именно – специализированный продукт, предназначенный для очистки входного/выходного почтового трафика от вредоносных программ. В связи с необходимостью отказа от иностранного ПО встал вопрос поиска отечественного антивирусного продукта, встраиваемого в существующую систему обработки и пересылки электронной почты в ЦЭМИ РАН.

Описание почтовой системы ЦЭМИ РАН

Почтовая система института реализована в виде многоуровневой схемы антиспамовой обработки электронной почты [9], оформившейся к 2010 г., при которой входной почтовый трафик поступает на антивирусный/антиспамовый шлюз и после проверки направляется на соответствующие почтовые серверы для дальнейшей пересылки адресатам. Отдельные части этой схемы относительно независимы, связаны по стандартным почтовым протоколам и при помощи системы доменных имен могут добавляться, заменяться и удаляться при условии корректировки соответствующих настроек. Отдельные проекты, разрабатываемые в институте, могут при необходимости функционировать и вне этой схемы, однако в таком случае средства антивирусной/антиспамовой обработки почты должны отдельно включаться (и включаются) в разрабатываемый проект.

В процессе развития антивирусного/антиспамового шлюза компании Symantec  изменялись его название, программные коды, даже аппаратно-программная платформа (последняя установленная реализация использовала виртуальную среду VMWare ESXi 5.5 и CentOS 6). Общими оставались принципы обработки, протоколирование, развивающиеся базы сигнатур спама и антивирусные базы. Первоначальный выбор вендора был определен двумя факторами:

• возможностью организации обработки трафика в виде входного антивирусного/антиспамового почтового шлюза, препятствующего внедрению вирусов (а также сетевых червей и других угроз), активно распространявшихся посредством электронной почты [5]; 

• имеющейся в наличии аппаратно-программной платформы на базе ОС Sun Microsystems.

Дополнительным бонусом к этой платформе было то, что ОС ряда Sun Solaris (как и различные ОС на основе Linux), были мало подвержены широко распространяемым в то время почтовым угрозам, нацеленным  в основном на серверы под управлением ОС Windows. Почтовые вирусы были способны заразить Windows-серверы в момент получения писем, еще до начала процесса антивирусной обработки.

Данная схема антивирусной/антиспамовой обработки электронной почты достаточно надежно работала вплоть до введения санкций в 2022 г.: ежегодное лицензирование, обновление баз и программного продукта, мониторинг почтового трафика и возможности анализа результатов обработки входного трафика [8]. На этой основе проводились исследования, направленные на оптимизацию работы почтовой службы института. Некоторым недостатком использования данного импортного ПО было то, что спам, созданный в кириллическом алфавите, часто не отражался в базе сигнатур и тогда требовал доработки в виде включения источников в локальный «черный список» [7].  Это вызывало периодическое снижение эффективности обработки трафика до 15–18 % «чистых» писем вместо обычных 9–10 %.

Выбор импортозамещающего ПО

 Процесс импортозамещения программных продуктов легче всего, с организационной точки зрения, происходит в сфере информационной безопасности. Пользователям чаще всего безразлично, какой именно продукт поддерживает информационную безопасность их ПК, если он правильно установлен и регулярно получает обновления антивирусных баз [10]. Наряду с импортными продуктами, в Рунете большой объем занимали продукты двух отечественных вендоров антивирусного ПО – компаний «Лаборатория Касперского» и «DrWeb». Более широкое их распространение в сетевой среде научных организаций сдерживали финансовые вопросы – на вновь приобретаемых ПК использовалось любое предустановленное антивирусное ПО, входящее в цену закупки.

В ЦЭМИ РАН уже долгое время приоритет в использовании антивирусных средств делят между собой продукты компаний DrWeb и «Лаборатория Касперского». Прочие антивирусные средства, если они появляются в предустановленном виде, в конечном счете замещаются на названные продукты. Выбор между этими продуктами происходит в основном под влиянием личных предпочтений – как пользователя конкретного ПК, так и лиц, поддерживающих работу сети, – а также по причинам финансового порядка.

Выбор почтового шлюза, как единичного программного продукта, происходит по другим критериям. Во-первых, этот продукт должен по возможности функционально соответствовать эксплуатируемому продукту, чтобы без больших изменений встраиваться в существующую схему обработки почты: потоков обработки, передачи трафика между серверами, размещения почтовых ящиков, поддержки почтовых доменов. Во-вторых, за прошедшее время накоплена и обработана обширная статистика работы использовавшегося шлюза в разрезе очистки трафика от вирусов и спама для оценки эффективности его работы. Желательно было продолжить такие исследования с возможной преемственностью и устоявшимися процессами анализа результатов. И наконец, нелишней является финансовая оценка приобретения нового продукта, которая включает в себя возможность установки его на существующей аппаратно-программной платформе.

Работы по подбору соответствующего антивирусного/антиспамового почтового шлюза были начаты сразу после объявленного направления на использование отечественного ПО. Они проводились параллельно с постоянной эксплуатацией почтового сервиса, что позволяло сравнивать их возможности и результаты.

В первую очередь рассматривались основные функции и системные требования продуктов. Предпочтение отдавалось продуктам, реализованным в виртуальной среде, аналогичной для эксплуатируемого почтового шлюза. Первоначально были рассмотрены два варианта почтового шлюза SPAMfighter Mail Gateway и McAfee Email Gateway, реализованные в виртуальной среде. В случае установки любого из них не пришлось бы менять аппаратно-программную платформу, что не отменяло проблемы включения шлюза в действующую схему обработки электронной почты. Однако заменять один импортный продукт на другой, также импортный, было малопродуктивно – тем более, что оба эти продукта являются коммерческими. А в настоящее время такая замена вообще невозможна в связи как с санкционными ограничениями, так и с общим направлением на приоритет отечественного ПО. Функциональность зарубежных продуктов также ограничена вследствие затруднительности получения ими материалов для исследования новейших разработок в сфере нелегитимной электронной почты и, соответственно, сигнатур антивирусных и антиспамовых баз.

Таким образом, выбор предстояло сделать между двумя крупными производителями отечественного антивирусного ПО – уже упомянутыми компаниями DrWeb и «Лаборатория Касперского». Обе компании производят соответствующий продукт – почтовый шлюз, предоставляющий антивирусную и антиспамовую обработку почтового трафика. В таблице отражены основные характеристики продуктов «Dr.Web для почтовых серверов Unix» и «Kaspersky Secure Mail Gateway» (KSMG).

Таблица. Основные функции и системные требования продуктов: «Dr.Web для почтовых серверов Unix» и «Kaspersky Secure Mail Gateway».

Наибольшее различие между продуктами состоит в реализации – использование шлюза DrWeb потребовало бы замены и освоения другой аппаратно-программной среды, так как в установку этого продукта входит выбор почтового сервера МТА, и его настройку в соответствии с требованиями политик безопасности сети. Продукт «Kaspersky Secure Mail Gateway» уже включает в себя почтовый сервер МТА на основе Postfix, который стандартно настроен для работы с антивирусными и антиспамовыми функциями продукта и в то же время допускает изменение настроек в соответствии с требованиями политик безопасности сети. Кроме того, KSMG может быть загружен в виде готового образа виртуальной машины, предназначенного для развертывания в виртуальной среде Microsoft Hyper-V Server, существующей в сети института. Внедрение нового продукта с использованием виртуальной среды позволяет минимизировать затраты как на оборудование, так и трудозатраты на установку программного обеспечения. Исходя из приведенных оценок, выбор был сделан в пользу продукта «Kaspersky Secure Mail Gateway».

Тестирование демоверсии Kaspersky Secure Mail Gateway

 С целью уточнения характеристик выбранного продукта в эксплуатируемой виртуальной среде была установлена демоверсия KSMG. Изучение возможностей этого продукта показало, что он достаточно близко соответствует второму критерию выбора – инфографика по умолчанию содержит практически те же данные, что выводит эксплуатируемый шлюз Symantec Messaging Gateway. Это прежде всего отчеты по результатам работы почтового шлюза – данные по объемам обработанного почтового трафика, обнаруженным вирусам и другим угрозам, по объемам спама. На основе ежемесячных отчетов проводится анализ результативности работы почтовой системы института [6]. Существенными также являются возможности анализа направленности почтовых атак – источников-отправителей и объектов-получателей, определение «белых» и «черных» списков почтовых адресов и другие исследования.

Сравнивая графические отображения результатов обработки почтового трафика двумя рассмотренными продуктами – импортным и отечественным, можно отметить значительное сходство, что позволяет осуществить достаточно легкий переход к российскому ПО, с точки зрения обслуживания и сопровождения. На рисунках 1 и 2 приведен пример отображения результатов обработки почтового трафика – ежемесячного отчета почтового шлюза SymantecMessaging Gateway. На рис. 1 отображены результаты обработки почтового трафика «Email Message Summary» в виде диаграмм и таблиц.

Графические отображения на рис. 1  включают диаграмму контроля почтовых сообщений на различные угрозы «Messages», в которой наиболее важны данные из строки «Clean messages»; диаграмму обнаруженных угроз «Threats» с детализацией по типам – «Content Filtering», «Malware», «Invalid recipients», «Bad reputation», «Spam and unwanted mail», «Disarmed messages».

На рис. 2 отображены результаты работы процессов поиска различных типов вирусов в обрабатываемых письмах «Malware Summary».

На диаграмме «Messages» в наиболее важны данные о том, сколько сообщений содержали различные угрозы, – строка «Total Malware Messages». Спам и сообщения, входящие в «черные списки отправителей», не считаются особо опасными. Диаграмма классификации вирусов «Malware Threats» содержит данные обнаружения угроз по типам «Encrypted attachment», «Suspect virus», «Adware and Spyware», «Worms», «Virus» из общего количества «Total Malware Messages».

Это графические отображения обнаруженных угроз «Обнаружено», диаграммы с детализацией по типам «Антивирус» и диаграммы объема почтового трафика «Сообщения». Детализация угроз по типам включает намного больше разновидностей, таких как «Вирусы», «Фишинг», «Спам», «Массовая рассылка» и т. д. Отчеты могут отображаться как на русском, так и на английском языках (в отличие от импортного, который поставляется только англоязычным, либо на других европейских языках).

Отображение функционирования шлюза в режиме онлайн (мониторинг) предоставляет дополнительную информацию, соответствующую функциональным возможностям шлюза и его внутреннему устройству. Экран мониторинга Symantec Messaging Gateway содержит отображения вышеописанных диаграмм (рис. 1 и рис. 2) и имеет похожий вид. В дополнение на нем отображается информация о лицензировании и даты обновления антивирусных и антиспамовых баз. На экране мониторинга KSMG 2.0 можно видеть дополнительные картинки (см. рис. 4).

Так как KSMG 2.0 позволяет построение кластера почтовых шлюзов под общим управлением, то на экране мониторинга отображается работоспособность отдельных элементов кластера в виде круговой диаграммы. Это изображение успешно применимо в случае множественных серверов шлюза, для больших почтовых потоков (например, MailRU), но при единственном сервере изображение информативно только в случае сбоев в работе почтового шлюза.

Результаты внедрения Kaspersky Secure Mail Gateway 2.0

В результате внедрения продукта Kaspersky Secure Mail Gateway 2.0 полностью сохранена действующая почтовая система ЦЭМИ РАН. Продукт иностранного производства – антивирусный почтовый шлюз – заменен на отечественный и введен в постоянную эксплуатацию.

Рис. 5. Сравнение результатов работы почтового шлюза в 2021–2022 гг. и в 2023–2024 гг.

Для сравнения были выбраны периоды, равные по количеству месяцев – с мая по февраль следующего года, по следующим причинам:

1. В 2021–2022 гг. роль антивирусного/антиспамового почтового шлюза исполнял импортный продукт «Symantec Messaging Gateway 6.1» – полнофункциональный, лицензированный, эксплуатировавшийся с 2004 г. в соответствующих изданиях продукта.
2. Для сравнения результатов функционирования двух продуктов был взят период с мая 2021 г. по февраль 2022 г. – период достаточно стабильной работы почтового сервиса, когда уже закончился ковидный карантин и устранены сопутствующие проблемы электронной почты, возникшие при массовом переходе на дистанционную работу [6].
3. В феврале 2022 г. период стабильности работы почтового шлюза окончился с вводом санкций и окончанием поставки обновлений антивирусных баз для Symantec Messaging Gateway 6.1. Однако, почтовый шлюз продолжал работу по очистке трафика с использованием последней официально полученной версии антивирусных и антиспамовых баз.
4. Параллельно с использованием старого шлюза проводились работы по внедрению отечественного продукта Kaspersky Secure Mail Gateway 2.0 и его интегрированию в почтовый сервис ЦЭМИ РАН.
5. В мае 2023 г. этот были проведены работы по вводу в постоянную эксплуатацию «Kaspersky Secure Mail Gateway 2.0», который был установлен, настроен и интегрирован в схему обработки почтового трафика. Данные о его деятельности с мая 2023 г. по февраль 2024 г. использованы для сравнения результатов с выделенным предыдущим периодом.

Данные, представленные в таблице, показывают более успешную работу российского продукта по очистке почтового трафика от вирусов по сравнению с предыдущим импортным. Как уже упоминалось, одной из причин этого может служить недостаточное внимание к работе над кириллическими текстами продукта компании Symantec. Особенно наглядно результаты представлены на диаграмме рис. 6.

На диаграмме хорошо видна значительная разница в результатах работы двух разных продуктов. Возможно, однако, что Symantec Messaging Gateway 6.1 отвергает некоторые инфицированные письма на предыдущем этапе обработки почтовых сообщений, т. е. отвергает их по «черным спискам» отправителей вирусов и спама, являющимся специальным ресурсом производителя шлюза и недоступных для антивирусных продуктов прочих производителей. В результате внедрения нового продукта обнаружение вирусов значительно повысилось, при этом сохранена стабильность в работе почтового сервиса ЦЭМИ РАН.

Выводы

Можно предложить следующие выводы:

1. В качестве антивирусного/антиспамового почтового шлюза существует отечественное ПО, достаточно успешно заменяющее импортные аналоги.
2. Отечественное ПО может быть встроено в уже функционирующую почтовую систему вместо ранее использованного.
3. Выбор замещающего ПО определяется как политиками безопасности конкретной сети, так и во многом сложившейся практикой внедрения продуктов в сетевую среду организации, и часто личными предпочтениями службы поддержки сети.

Результаты эксплуатации Kaspersky Secure Mail Gateway 2.0, установленного в почтовой системе ЦЭМИ РАН, показали, что этот продукт вполне адекватно обеспечивает очистку почтового трафика от угроз, циркулирующих в Рунете.