Рефераты
 

Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей

p align="left">В настоящее время IDS начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако имеется ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Приведем некоторые из них:

· большая стоимость коммерческих IDS;

· малая эффективность современных IDS, характеризующихся большим числом ложных срабатываний и несрабатываний (false positives and false negatives);

· требовательность к ресурсам и порой неудовлетворительная производительность IDS уже на скорости 100 Мбит/с в сетях;

· недооценка рисков, связанных с сетевыми атаками;

· отсутствие в организации методики анализа рисков и управления ими, позволяющей руководству адекватно оценивать величину риска и обосновывать стоимость реализации контрмер;

· необходимость в высокой квалификации экспертов по выявлению атак, без которой невозможно внедрение и развертывание IDS.

Стоимость современных IDS в аппаратном исполнении колеблется от 5000 USD до 50000 и даже выше [18]. Здесь стоимость определяет в первую очередь масштаб предприятия требования к пропускной способности и набор сигнатур атак. В то же время на рынке существуют продукты программного исполнения которые значительно дешевле и более доступны. Как и в случае с МЭ, а в отношении IDS еще существенней, уровень защищенности обеспечиваемый данным средством на 80 процентов зависит от компетентности администраторов и выхода обновлений сигнатур. В прессе существует множество примеров когда системы IDS бездействовали из-за отсутствия тонкой настройки под конкретную систему, снижая тем самым целесообразность своего применения фактически к нулю.

2.3 Антивирусная защита

2.3.1 Актуальность проблемы вирусной защиты

В настоящее никто не станет отрицать важность системы антивирусной безопасности на предприятии - это в большинстве случаев наиболее актуальная система, из всего ряда развернутых систем обеспечения информационной безопасности. Конечно подобная ситуация возникла не сама по себе, а обусловлена в первую очередь лавинообразным ростом числа новых компьютерных вирусов.

Данное положение вещей подтверждается неоднократными исследованиями различных авторитетных компаний. Так, например, из отчета по итогам 2004 года, приведенного на рисунке 2.2 - исследование (опрос) компании Ernst & Young, явно видно, что большинство опрошенных специалистов, проблему вирусной опасности поставили именно на первое место [19].

Рисунок 2.2. Наибольшие угрозы для бизнеса (исследование компании Ernst & Young).

Помимо этого, сети компаний находятся в постоянном развитии, соответственно растет и число точек проникновения вирусов в корпоративные сети. Когда-то вредоносный код попадал на компьютер к пользователю только посредством переносных носителей информации. В настоящее время, как правило, основными точками проникновения являются, в первую очередь - электронная почта, шлюзы (центральная точка входа в корпоративную сеть) и серверы Интернет (Web browsing - различные CGI скрипты и прочий вредоносный код скачиваемый пользователем).

Одновременно с развитием корпоративной сети, необходимо, что бы система антивирусной защиты, в лучшем случае опережала ее развитие на шаг или же изменялась одновременно и в соответствии с расширением количества или качества сервисов, предоставляемых пользователям данной сети [20]. Чтобы подчеркнуть данное высказывание приведем небольшую классификацию вирусов, и опишем угрозы которые они несут для КИС.

2.3.2 Виды вирусных угроз

Троянские кони.

"Троянский конь" представляет собой полезную или кажущуюся полезной программу или командную процедуру, содержащую скрытый код, который после запуска программы-носителя выполняет нежелательные или разрушительные функции.

Программа этого типа может служить для опосредованного выполнения операций, которые несанкционированный пользователь не может выполнить непосредственно. Например, для получения доступа к файлам другого пользователя на компьютере, находящемся в совместном пользовании нескольких человек, злоумышленник может создать программу "троянского коня", которая в ходе выполнении изменит параметры контроля доступа к файлам соответствующего пользователя, сделав эти файлы открытыми для всех. Создав такую программу, автор может спровоцировать других пользователей запустить ее, поместив эту программу в общедоступный каталог и присвоив ей имя, которое большинству пользователей покажется именем полезной программы или утилиты. Примером может служить программа, якобы создающая список файлов пользователя в нужном формате. После того как какой-нибудь пользователь запустит такую программу, автор программы может получить доступ к информации, содержащейся в файлах этого пользователя. Примером "троянского коня", который очень трудно выявить, является компилятор, модифицированный с целью внедрения дополнительного кода в компилируемые программы определенного вида, например в программы входа в систему [21]. Этот код представляет собой лазейку в модуле регистрации, который позволяет автору программы войти в систему с помощью специального пароля. Обнаружить такого "троянского коня" по исходному коду программы входа в систему невозможно.

Вторым источником мотивации для написания "троянского коня" является разрушение данных. В этом случае программа, которая выполняет какие-то полезные функции (например, программа-калькулятор), может без каких бы то ни было внешних проявлений удалить файлы пользователя.

Вирусы.

Вирус представляет собой программу, которая может "заражать" другие программы путем их модификации. В модифицированный код включается код вируса, в результате чего код вируса может продолжать заражать другие программы.

Внесенный в компьютерную систему, типичный вирус временно захватывает управление дисковой операционной системой компьютера. Затем, при каждом контакте зараженного компьютера с незараженным программным обеспечением очередная копия вируса помещается в новую программу. Таким образом инфекция может передаваться от компьютера к компьютеру ничего не подозревающими пользователями, обменивающимися содержимым магнитных дисков или пересылающими программы по сети. Сеть, с ее возможностями доступа к приложениям и системным службам других компьютеров, является прекрасной средой для распространения вируса.

«Черви»

Сетевые программы-"черви" используют сетевые соединения для распространения от одной системы к другой. Во время работы на отдельном компьютере сетевой "червь" может вести себя как компьютерный вирус или внедрять "троянских коней", либо выполнять какие-то другие разрушительные или подрывные операции. Для размножения сетевой "червь" использует какое-нибудь из сетевых средств доставки информации. Примерами таких средств могут быть следующие службы.

· Электронная почта. "Червь" отправляет свою копию по почте в другую систему.

· Удаленный вызов программ. "Червь" запускает свою копию на выполнение в другой системе.

· Доступ к удаленной системе. "Червь" входит в удаленную систему как пользователь, а затем использует команду копирования себя из одной системы в другую.

Новая копия программы-"червя" в результате оказывается запущенной в удаленной системе, где в дополнение ко всем другим предусмотренным операциям "червь" продолжает размножаться указанным выше способом.

Сетевой "червь" во многом подобен компьютерному вирусу: у него тоже есть инкубационный период, фаза распространения, фаза активизации и фаза выполнения. В фазе распространения обычно выполняются следующие функции.

· Поиск других систем, которые можно заразить, путем проверки списков известных данному компьютеру узлов или других подобных объектов, хранящих информацию об адресах удаленных систем.

· Установление соединения с удаленной системой.

· Копирование своего кода в удаленную систему и инициирование ее запуска там.

Перед тем как копировать себя в другую систему, сетевой "червь" может также пытаться проверить, не была ли система уже инфицирована ранее. В многозадачной среде он может также скрывать свое присутствие с помощью назначения себе названия, соответствующего системному процессу, или с помощью использования какого-либо другого имени, не вызывающего подозрения у системного оператора.

Так же как и вирусам, сетевым "червям" трудно противостоять. Однако меры сетевой защиты в совокупности с мерами по защите отдельных компьютерных систем при условии их правильной разработки и применения значительно уменьшают опасность, которую представляют собой "черви".

Природа вирусов.

Вирусы могут делать все, что могут делать обычные программы. Единственное различие состоит в том, что вирус присоединяется к другой программе и выполняется скрытно в процессе работы программы-носителя. Во время своего выполнения вирус может выполнить любую операцию, например стереть файлы документов и программы.

Жизненный цикл типичного вируса состоит из четырех этапов [6].

Инкубационный период. Вирус никак не проявляется. В конце концов вирус будет активизирован некоторым событием, например наступлением определенной даты, присутствием другой программы или файла, появлением достаточного места на диске. Инкубационный период имеют не все вирусы.

Фаза распространения. Вирус помещает свою копию в другие программы или в определенные системные области на диске. Теперь все инфицированные программы будут содержать копию вируса, каждая их которых тоже должна будет когда-нибудь пройти свою фазу распространения.

Фаза активизации. Вирус активизируется для выполнения функции, с которой он создавался. Фаза активизации может быть инициирована самыми разными системными событиями, например наличием определенного числа копий данного вируса в системе.

Фаза выполнения. Выполняется содержащаяся в вирусе функция. Эта функция может быть как вполне безобидной (например, вывод сообщения на экран), так и совершенно деструктивной (например, уничтожение программ и файлов с данными).

Работа большинства вирусов построена в соответствии с архитектурными принципами конкретной операционной системы и в некоторых случаях даже конкретных аппаратных средств. Таким образом, в их основе лежит использование недостатков и нюансов тех или иных систем.

Типы вирусов

С тех пор как появились вирусы, началась и бесконечная борьба между авторами вирусов и авторами антивирусных программ. Как только вырабатывались эффективные методы противодействия уже известным вирусам, появлялись новые типы вирусов. В [22] предлагается следующая классификация наиболее важных типов вирусов.

· Паразитный вирус. Традиционная и до сих пор самая распространенная форма вируса. Паразитный вирус добавляет свой код к исполняемым файлам и размножается при каждом запуске инфицированной программы, находя другие файлы, которые можно было бы инфицировать.

· Резидентный вирус. Размещается в оперативной памяти как часть резидентной системной программы. С момента размещения в памяти инфицирует любую запускаемую программу.

· Загрузочный вирус. Инфицирует главную загрузочную запись или загрузочный сектор и распространяется, когда система загружается с зараженного диска.

· Вирус-невидимка. Разновидность вируса, имеющего специально предусмотренное свойство, защищающее вирус от обнаружения антивирусным программным обеспечением.

· Полиморфный (мимикрирующий) вирус. Вирус, код которого изменяется при каждом новом заражении, что делает практически невозможным обнаружить его по "сигнатуре".

Существуют и другие, гораздо более хитроумные решения. Например, вирус может перехватывать обращения к функциям ввода-вывода и при попытках прочитать подозрительные части диска с помощью этих функций возвращать оригинальные неинфицированные версии программ. Таким образом, применяемая в данном случае характеристика стелс (скрытный) относится не столько к вирусам, сколько к технологии, обеспечивающей вирусу защиту от обнаружения.

Полиморфный вирус создает при размножении копии, эквивалентные по функциональности, но существенно различающиеся по двоичному представлению кода [6]. Как и в случае с вирусами-невидимками, это делается с целью противостоять программам, обнаруживающим вирусы. Для таких вариаций представления кода вирус может вставлять в свой код генерируемые случайным образом избыточные команды или же изменять порядок следования не зависящих друг от друга команд. Более эффективным подходом является шифрование. Часть вируса, называемая механизмом управления мутациями (mutation engine), генерирует случайное значение ключа, с помощью которого шифрует остальной код вируса. Ключ сохраняется вместе с вирусом, а механизм управления мутациями видоизменяется. Во время запуска инфицированной программы вирус с помощью сохраненного ключа расшифровывается. При новом инфицировании генерируется новый ключ.

Еще одним оружием в арсенале авторов вирусов является пакет инструментальных средств для разработки вирусов. Такой пакет позволяет даже относительному новичку быстро создать целый набор вирусов разных типов. Хотя вирусы, созданные с помощью пакета инструментальных средств разработки, обычно оказываются менее изощренными в сравнении с вирусами, созданными "с нуля", неограниченное число новых вирусов, которые можно генерировать с помощью пакета, представляет собой достаточно серьезную проблему для схем антивирусной защиты.

Макровирусы.

За последние годы число вирусов, регистрируемых на корпоративных узлах, стремительно возросло [23]. Практически весь этот прирост связан с распространением нового типа вирусов, называемых макровирусами. Согласно информации NCSA (National Computer Security Agency -- Национальное агентство компьютерной безопасности США) макровирусы сегодня составляют две трети от общего количества вирусов [24].

Макровирусы особенно опасны по следующим причинам.

· Макровирусы независимы от платформы. Так, практически все макровирусы поражают документы Microsoft Word. Поэтому любая аппаратно-программная система, поддерживающая Word, может быть заражена таким вирусом.

· Макровирусы инфицируют документы, а не выполняемый код. А информация, вводимая в компьютерную систему, по большей части представлена в форме документов, а не программ.

· Макровирусы быстро распространяются. Чаще всего распространение происходит по электронной почте.

Существование макровирусов построено на использовании средств поддержки макросов, предлагаемых в Word и других офисных приложениях (например, Microsoft Excel). По сути, макрос представляет собой программу, встроенную в документ текстового процессора или файл какого-то другого типа. Обычно пользователи используют макросы для того, чтобы автоматизировать выполнение часто выполняемых действий, что позволяет сэкономить время. Язык макросов чаще всего является каким-нибудь вариантом языка программирования Basic. Пользователь может записать последовательность нажатий клавиш в виде макроса, а затем настроить программу так, чтобы записанный макрос вызывался нажатием функциональной клавиши или какой-то специальной комбинацией клавиш.

Создание макровирусов оказывается возможным благодаря существованию автоматических макросов. Это макросы, которые выполняются автоматически, без явной активизации их пользователем. Типичными автоматически происходящими событиями являются открытие, закрытие файла, а также запуск приложения. Во время своего выполнения макрос может копировать себя в другой документ, удалять файлы и выполнять любые другие действия, разрушающие систему пользователя. В Microsoft Word имеется три типа автоматических макросов.

· AutoExec. Макрос, названный зарезервированным именем AutoExec, находится в шаблоне normal.dot или в глобальном шаблоне, хранящемся в каталоге запуска (startup directory) Word, и автоматически выполняется при запуске Word.

· Автомакрос. Выполняется, когда происходит определенное событие, например открытие или закрытие документа, создание нового документа шп завершение работы Word.

· Командный макрос. Если находящийся в глобальном файле макросов ил;связанный с текущим документом макрос имеет имя, совпадающее с названием команды Word, он будет выполняться при каждом вызове этойкоманды (например, команды FileSave) пользователем.

Обычно распространение макровируса происходит следующим образом. Автомакрос или командный макрос вставляется в документ Word, который передается в компьютерную систему по электронной почте или с внешнего носителя информации. В какой-то момент после открытия документа макровирус начинает выполняться. Он копирует свой код в глобальный файл макросов. При следующем запуске Word становится активным инфицированный глобальный файл макросов. При выполнении макрос может размножаться и выполнять действия, наносящие вред системе.

В современные версии Word встроена защита от макровирусов. Microsoft предоставляет в распоряжение пользователя средство защиты от макровирусов, выявляющее подозрительные файлы Word и предупреждающее пользователя об опасности, связанной с открытием файлов, содержащих макросы. Ведущие разработчики антивирусных программ тоже создали средства для обнаружения и удаления опасных макровирусов. Однако, как и в случае любых других вирусов, борьба в области макровирусов продолжается и не всегда в лучшую сторону.

2.3.3 Виды антивирусной защиты

Идеальным решением проблемы вирусов является предотвращение инфицирования: не следует допускать начального проникновения вируса в компьютерную систему. Этой цели в общем достичь невозможно, хотя предпринятые превентивные меры могут снизить число успешно завершенных вирусами атак. Почти идеальный подход должен обеспечивать выполнение следующих требований.

· Обнаружение. Если заражение произошло, оно должно быть немедленно обнаружено с установлением места обитания вируса.

· Идентификация. Как только заражение вирусом обнаружено, необходимо идентифицировать тип вируса, инфицировавшего программу.

· Удаление. Как только вирус идентифицирован, следует удалить все следы вируса из инфицированных программ и восстановить программы в их исходный вид. Важно удалить вирус из всех инфицированных систем, чтобы болезнь не распространялась дальше.

Если вирус обнаружен, но его не удается идентифицировать или удалить из системы, альтернативой является удаление инфицированной программы с последующей ее новой загрузкой с резервной копии.

Технологии разработки вирусов и антивирусов идут рука об руку. Первые вирусы представляли собой сравнительно простые фрагменты кода и могли быть удалены с помощью относительно простых антивирусных программ. По мере усложнения вирусов антивирусное программное обеспечение тоже становилось все сложнее и изощреннее.

В [22] антивирусные программы разделяются на четыре поколения.

· Первое поколение: обычные сканеры.

· Второе поколение: эвристические анализаторы.

· Третье поколение: мониторы.

· Четвертое поколение: полнофункциональные системы защиты.

Антивирусные программы-сканеры первого поколения для идентификации вирусов использовали характерные для соответствующих вирусов сигнатуры. Вирусы могли содержать "групповые символы", но все копии вируса имели в основном одну и ту же структуру и неизменный код. Такие программы-сканеры, использующие сигнатуры, могли обнаруживать только известные вирусы. Другой тип сканеров первого поколения предполагал поиск несоответствий текущих значений длин файлов со значениями, сохраненными в специальной базе данных.

Сканеры второго поколения уже не ориентированы на конкретные сигнатуры. Вместо этого в них начали применять эвристический анализ, с помощью которого можно было сделать вывод о возможном наличии в программе вируса. Одна из разновидностей таких сканеров предполагала поиск в программе фрагментов кода, характерного для вирусов. Например, сканер мог искать начало цикла шифрования, используемого полиморфным вирусом, и пытаться открыть ключ шифрования. Получив ключ, сканер мог расшифровать тело вируса, идентифицировать вирус, удалить его из программы и вернуть программу в рабочее состояние.

Другим подходом, применявшимся в антивирусных программах второго поколения, была проверка целостности. С каждой программой можно связать контрольную сумму. Если вирус инфицирует программу, не меняя при этом контрольной суммы, то проверка целостности обязательно это обнаружит. Чтобы противостоять вирусам, которые при заражении могут менять соответствующую контрольную сумму, можно использовать некоторую функцию хэширования с шифрованием. Ключ шифра хранится отдельно от программы, чтобы вирус не мог сгенерировать новый хэш-код и зашифровать его. Использование функции хэширования с шифрованием вместо обычной контрольной не дает вирусу возможности модифицировать программу таким образом, чтобы результат хэширования после инфицирования не изменялся.

Программы третьего поколения представляли собой резидентные программы, выявляющие вирусы по выполняемым ими действиям, а не по их структуре в инфицированной программе. Преимуществом таких программ было то, что для них не требовалось постоянно обновлять базу данных сигнатур и эвристик для все большего числа вирусов. Вместо этого достаточно было определить относительно небольшой набор действий, характеризующих возможные проявления вируса.

Продукты четвертого поколения представляют собой пакеты, объединяющие в единое целое все существующие антивирусные технологии. Такой подход, помимо выполнения сканирования и наличия компонентов, позволяющих регистрировать определенные действия вирусов, предполагает наличие средств управления доступом, с помощью которых можно ограничить возможности вирусов по проникновению в систему и по внесению изменений в файлы с целью распространения инфекции под видом обновления.

Вирусная война продолжается. С появлением пакетов четвертого поколения появилась возможность построения всеобъемлющей стратегии антивирусной защиты, являющейся неотъемлемой частью общих мероприятий по обеспечению защиты компьютерной системы.

2.3.4 Требования к антивирусной защите КИС

Обычная корпоративная сеть включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и, как правило, имеет очень сложную структуру. При этом стоимость обслуживания такой сети катастрофически растет вместе с увеличением числа подключаемых объектов сети. Очевидно, расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Однако существует принципиальная возможность их снижения путем реализации централизованной установки, управления и обновления всем антивирусным комплексом защиты корпоративной сети.

Важно отметить, что при начальном построении системы антивирусной безопасности важно точно определить точки, которые мы будем защищать и свести огромную архитектуру сети к четкой функциональной модели.

Пример простейшей функциональной модели приведен на рисунке 2.4.

Рисунок 2.3. Функциональная модель корпоративной сети

На данной модели не показан, например, сервисный и сетевой уровень, т.е. если имеется необходимость обеспечения антивирусного контроля на данных уровнях автоматизированной системы, то необходимо добавить их в функциональную модель.

Взглянув на конкретную функциональную модель, становится, очевидно, что антивирусную безопасность в данной корпоративной сети не обеспечить за счет антивирусов устанавливаемых на рабочих станциях и серверах. Да, бесспорно, есть решения, включающие несколько антивирусных продуктов (для разных точек проникновения), но нет одного продукта, который бы мог контролировать все участки корпоративной сети [25].

При таком положении дел важно помнить о централизованном контроле и управлении всеми антивирусными продуктами, которые используются на предприятии.

Необходимо, чтобы администратор мог с единой консоли отслеживать все точки проникновения вирусов и, эффективно управлять всеми присутствующими в сети предприятия точками антивирусной защиты. В нынешних условиях развития вирусной индустрии, отсутствие подобного рычага у администратора приведет в лучшем случае к потере контроля над несколькими объектами сети предприятия (устаревшие базы вирусных сигнатур, отключенный режим сканирования в реальном времени, вообще не установленное антивирусное ПО), а в худшем - к потере контроля вообще над частью системы антивирусной защиты. И, как правило, это происходит в момент появления новой уязвимости и в то же время червя, который использует данную уязвимость - так называемая угроза «Zero-day» [25].

Сложность создания комплексного централизованного управления и является нелегкой задачей для успешного создания эффективных корпоративных систем антивирусной защиты, что, в конечном счете, и приводит к столь вероятной угрозе проникновения компьютерных вирусов в корпоративные сети.

Для того, что бы окончательно определиться - какой должна быть система антивирусной защиты КИС, необходимо задуматься, что еще должно в ходить в ее функциональность. Для начала используем те требования, которые предъявляет к подобным системам международный, наиболее авторитетный, стандарт в области управления информационной безопасностью - ISO 17799 [10].

Если проанализировать данный стандарт, то можно выделить ряд требований, предъявляемых к самой системе антивирусной безопасности и к необходимым возможностям по управлению данной системой:

· многоплатформенность;

· отказоустойчивость;

· масштабируемость, интегрируемость и возможность централизованного управления и обновления;

· работа антивирусных средств в режиме реального времени и по расписанию;

· оценка нанесенного ущерба и восстановление системы:

Ш обнаружение и уничтожение опасных остатков вирусов, в том числе и ликвидация изменений в системах, выполненных вредоносным кодом;

Ш выявление незащищенных объектов сети и обеспечение немедленной их защиты;

Ш подробные, разноуровневые (например, отчеты для технических специалистов в данной области, для технических менеджеров (руководителей) и отчеты для руководителей высшего звена) отчеты, по работе всего антивирусного комплекса

· контроль над жизненным циклом эпидемии и своевременное информирование персонала;

· способность перекрывать все потенциальные каналы проникновения вирусов в корпоративную сеть;

· предоставления комплексного решения для гетерогенной корпоративной сети.

Безусловно, в любом из общих стандартов по информационной безопасности, невозможно полностью отразить все требования, для каждой из подсистем защиты, вследствие чего, существует необходимость в дополнении и более подробном описании каждого из указанных выше требований.

Конечно, есть требования (может быть даже субъективные), которые не описаны стандартами, но на них всегда обращают при построении любой из корпоративных систем. В первую очередь идет речь, например, о производительности и удобности эксплуатации антивирусных решений. Конечно, данные требования никто в стандарт по безопасности вносить не будет, но они существуют и играют не последнюю роль при выборе конкретных решений. Список и раскрытие этих требований перечислены ниже [25].

Стоимость решения

Конечно, стоимость довольно часто играет одну из главных ролей при выборе решения, ведь это прямые затраты, которые должны обеспечить надежное функционирование всей корпоративной сети предприятия. При этом многие упускают из виду то, что все антивирусные решения продаются на ограниченный период времени, затем необходимо или обновлять лицензии, или продлевать техническую поддержку (что на практике, в общем-то, одно и то же). В конечном счете, довольно привлекательное решение в ценовом варианте, может оказаться значительно дороже конкурентных предложений.

Лицензионная политика производителя

Очень важно сразу обратить внимание на лицензионную политику производителя. Некоторые из производителей до сих пор в продукты, предназначенные для сегмента корпоративных предприятий, включают «License Force Check». И может оказаться так, что, купив какое-то количество лицензий, антивирус откажется защищать все объекты сети вашего предприятия, т.к. их окажется чуть больше, вследствие использования каких-либо служебных почтовых ящиков или временных тестовых стендов.

Эффективность обнаружение вирусов

Достаточно важна, поскольку напрямую оправдывает финансовые затраты на приобретение и эксплуатацию антивирусного ПО.

Обнаружение вредоносного кода любого типа

Безусловно, на данный момент практически отсутствуют антивирусы, которые не обнаруживают весь спектр вредоносного кода. Но, тем не менее, необходимо обращать на это внимание, например, антивирус, устанавливаемый для защиты Lotus Domino, должен обладать возможностью блокирования скриптов, позволяющих выполнить неавторизованные действия от имени пользователя.

Производительность

Если антивирусная защита «конфликтует» с производительностью системы, доставкой почты или другими ключевыми аспектами современного процесса делового общения, у конечного пользователя появляется желание ее отключить. Вследствие чего, в любом случае рекомендуется перед полноценным внедрением антивирусной системы выполнить «пилотное» тестирование на небольшом участке сети.

Готовность быстрого реагирования на появление новых угроз

Никто не станет отрицать, что одно из важных свойств продукта (а точнее производителя) - способность своевременно и быстро реагировать на появление новых угроз.

Управляемость всем антивирусным комплексом

Возможность централизованного администрирования антивирусного программного обеспечения чрезвычайно актуальна, так как нельзя полагаться на то, что конечные пользователи будут поддерживать работоспособность и обновление антивирусной защиты на своих рабочих станциях. При этом бывает так, что в результате системного сбоя (не обязательно самого антивирусного ПО) происходит сбой системы обновления. А это уязвимость во всей системе. Даже подобные единичные случаи, среди сотен защищаемых объектов могут привести к непоправимым последствиям.

Управление антивирусной защитой удаленных пользователей

Сейчас появилось большое количество пользователей, которые выполняют свою работу дома, подключаясь к ресурсам корпорации удаленно, создавая тем самым новые точки проникновения вирусов. Поэтому администратору необходимо поддерживать их на том же уровне антивирусной защиты, что и локальных пользователей.

Автоматическое распространение и обновление

Сегодня администраторы могут быть ответственны за сотни рабочих станций и десятки различных сегментов сети предприятия, проверить каждый объект сети самостоятельно невозможно. Поэтому понятно требование администратора, который хочет при помощи антивирусного ПО автоматизировать процесс распространения и обновления. При этом максимально минимизировать трафик и время распространения обновлений.

Централизованное уведомление и оповещение

Если администратор антивирусной системы не сможет получить мгновенную единую картину всех уязвимых точек сети, то они могут упустить из виду потенциальную и, как правило, реальную вирусную атаку.

Удобность администрирования

Если администратор сам является удаленным пользователем, интерфейс броузера (как административной консоли) дает ему возможность администрирования всего предприятия независимо от своего местонахождения. При этом Web интерфейс оказывается наиболее привычным, по сравнению с обычным GUI интерфейсом, т.к. довольно часто дизайнерские способности производителей антивирусов оставляют желать лучшего. А Web интерфейс достаточно прост и удобен.

Возможность четкой и детальной настройки антивирусной системы

Что отличает антивирусное программное обеспечение для корпоративного использования, от программного обеспечения для домашнего использования - необходимость в наличие большей детализации настроек. Это связано с тем, что требования для разных объектов сети зачастую сильно разнятся. К сожалению, многие антивирусные производители не считают необходимым расширять возможности по настройке всего комплекса.

Таким образом на сегодняшний день вирусные угрозы представляют для современных КИС наибольшую опасность. Это показуют и исследования статистики нарушений и мнение экспертов в этой области. Из этого можно сделать вывод что обеспечение должного уровня антивирусной защита в современных КИС должно являться неотъемлемой частью общей программы защиты и проблемы вирусной активности должны решаться в первую очередь для обеспечения должного уровня гарантий безопасности.

2.4 VPN решения

2.4.1 Варианты реализации VPN

Широкое распространение глобальных сетей передачи данных предоставляет возможность объединять территориально разбросанные локальные сети организаций для создания так называемых частных виртуальных сетей (VPN). Глобальные сети в этом случае выступают как транспортный компонент, объединяющий локальные сети в единую информационно-вычислительную систему. Создание VPN велось и до стремительного роста глобальных сетей, однако для их объединения служили выделенные каналы передачи данных, что приводило:

· к высокой стоимости аренды выделенных каналов связи;

· к жесткой привязанности к местоположению. Например, в случае переезда офиса компании с развернутым сегментом локальной сети, связанным выделенным каналом с общей сетью предприятия, возникали дополнительные проблемы с последующим подключением локальной и общей сетей.

Рисунок 2.4. Территориально-распределенная КИС основанная на технологии VPN.

Использование коммутируемых каналов глобальных сетей передачи данных позволило добиться гибкости, масштабируемости и универсальности при построении VPN. Кроме того, расширение Internet позволило многим компаниям перевести часть персонала на домашний режим работы. В этом случае сотрудник имеет постоянную связь с фирмой в рамках, например, системы электронного документооборота, при этом проблемы связи его с сетью офиса решаются посредством провайдеров.

Необходимость в обеспечении безопасности сетей на основе протокола IP постоянно возрастает. В современном, сильно связанном мире бизнеса при наличии Интернета, интрасетей, дочерних отделений и удаленного доступа критически важная информация постоянно перемещается через границы сетей. Задача сетевых администраторов и других специалистов информационных служб состоит в том, чтобы этот трафик не допускал:

· модификацию данных во время их передачи по каналам,

· перехват, просмотр или копирование,

· доступ к данным со стороны неавторизованных пользователей.

Указанные проблемы известны как обеспечение целостности данных, конфиденциальности и аутентификации. Кроме того, необходима защита от воспроизведения информации.

Для решения проблемы передачи информации через открытые каналы интернет используют VPN решения. VPN- это объединение ряда локальных сетей, подключенных к сети общего назначения, в единую виртуальную (логически выделенную) сеть. VPN средства организовывают защищенный туннель между двумя точками средствами криптографии. При этом они предоставляют широкие возможности по выборам алгоритмов аутентификации, шифрования и проверки целостности потока данных [27].

При использовании VPN ресурсы компании могут быть легко консолидированы и употреблены с большей эффективностью. По причине того, что VPN может работать по сети интернет, у компании не возникнет значительных затрат связанных с покупкой дополнительного оборудования и арендой линий связи. Использование выделенных (арендованных) линий связи может привести к повышению издержек до сотен тысяч долларов, а такие затраты весьма сложно оправдать.

К тому же главным достоинством VPN является возможность обеспечения безопасности множества коммуникационных потоков посредством одного механизма. При VPN- соединении web, e-mail, ftp, интернет-видеоконференции и любые другие потоки данных, использующие протокол TCP/IP, защищены от любопытных глаз. Более конкретно - потоки информации защищены от нежелательных получателей с использованием криптографических методов.

С помощью VPN можно избежать ряда угроз. VPN обеспечивает целостность и конфиденциальность данных путем шифрования а также их аутентификацию при помощи использования специальных протоколов и схем аутентификации.

Также средства VPN за счет скрытия информации относящейся к транспорту IP пакетов защищены от ряда сетевых атак, таких как IP-spoofing и hijacking, также они защищены от атак типа man-in-the-middle [28].

Конечно в реализации самого ПО для создания VPN или его аппаратной реализации могут быть уязвимости но как правило на практике используются проверенные временем решения известных разработчиков, которые выпускают постоянные обновления и заплатки для своих продуктов.

Основные требования, которые должны выполнять решения VPN, следующие :

· Аутентификация пользователя. Средство должно аутентифицировать удаленного VPN-клиента и предоставлять доступ только авторизованным пользователям. Оно также должно обеспечивать политику аудита для просмотра активности пользователей: кто, когда и на сколько подключался.

· Управление IP адресами. Средство VPN должно выдавать адреса из подсети и давать гарантию что эти адреса не раскроются.

· Шифрование данных. Данные передаваемые по публичным сетям должны быть нечитаемыми.

· Управление ключевой информацией. VPN-средство должно генерировать ключи для шифрования и обновлять их с определенной периодичностью.

Можно выделить четыре основных варианта построения сети VPN, которые используются при создании корпоративных VPN сетей:

1. Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики. Этот вариант представляет собой топологию сеть-сеть. В этой конфигурации каждый шлюз расположен на конце сети и обеспечивает безопасность канала связи между двумя (или более) сетями. Конфигурация этого типа лучше всего подходит для соединения территориально разделенных локальных сетей. Основное преимущество данной конфигурации заключается в том, что удаленные локальные сети в VPN прозрачны для конечного пользователя. Фактически шлюзы VPN являются для пользователей условными маршрутизаторами. Структуры сеть-сеть VPN могут быть использованы для связи внутренних сетей, как если бы они имели смежные каналы. Данные, передаваемые между сетями интранет, сохраняют конфиденциальность во время передачи. Эта схема применима также для внешних сетей (extranet) нескольких компаний, где каждая компания разделяет свои ресурсы только с партнерами по бизнесу.

Страницы: 1, 2, 3, 4


© 2010 BANKS OF РЕФЕРАТ