• Кращі поради: Як змінити роздільну здатність екрана монітора Чому не встановлюється потрібна роздільна здатність екрана
• Зависла бездротова мишка на комп'ютері
• Автозавантаження програм, що стартують з операційною системою
• Як дізнатися свій номер телефону МТС?
• Найкращі бюджетні смартфони з гарною камерою Огляд недорогих смартфонів з гарною камерою
• Як можна телефоном та планшетом керувати телевізором і які програми потрібні?
• Використання прихованих нотаток у телефонах сяомі
• Samsung Galaxy Ace S5830: характеристики, опис, відгуки Телефон Samsung Асе
• Датчик наближення в телефоні, як включити, відключити, калібрування датчика Як включити датчик наближення на хонор 10
• Як дізнатися баланс іншого абонента «МТС»: всі можливі способи Спеціальний мобільний додаток

Ідентифікація / автентифікація (ІА) операторів має виконуватися апаратно до етапу завантаження ОС. Бази даних ІА повинні зберігатися в енергонезалежній пам'яті систем захисту інформації (СЗІ), організованої те щоб доступ до неї засобами ПК був неможливий, тобто. енергонезалежна пам'ять має бути розміщена поза адресним простором ПК.

Ідентифікація / автентифікація віддалених користувачів, як і попередньому випадку, вимагає апаратної реалізації. Автентифікація можлива у різний спосіб, включаючи електронний цифровий підпис (ЕЦП). Обов'язковою стає вимога «посиленої аутентифікації», тобто. періодичного повторення процедури в процесі роботи через інтервали часу, досить малі для того, щоб при подоланні захисту зловмисник не міг завдати відчутних збитків.

2. Захист технічних засобів від НСД

Засоби захисту комп'ютерів від НСД можна розділити на електронні замки (ЕЗ) та апаратні модулі довіреного завантаження (АМДЗ). Основна їхня відмінність - спосіб реалізації контролю цілісності. Електронні замки апаратно виконують процедури І/А користувача, використовують зовнішнє для виконання процедур контролю цілісності. АМДЗ апаратно реалізують як функції ЕЗ, і функції контролю цілісності і функції адміністрування.

Контроль цілісності технічного складу ПК та ЛОМ. Контроль цілісності технічного складу ПЕОМ має виконуватися контролером СЗІ до завантаження ОС. При цьому повинні контролюватись всі ресурси, які (потенційно) можуть використовуватись спільно, у тому числі центральний процесор, системний BIOS, гнучкі диски, жорсткі диски та CD-ROM.

Цілісність технічного складу ЛОМ повинна забезпечуватися процедурою посиленої автентифікації мережі. Процедура повинна виконуватись на етапі підключення перевірених ПК до мережі та далі через заздалегідь визначені адміністратором безпеки інтервали часу.

Контроль цілісності ОС, тобто. Контроль цілісності системних областей і файлів ОС повинен виконуватися контролером до завантаження ОС для забезпечення читання реальних даних. Так як в електронному документообігу можуть використовуватись різні ОС, то вбудоване в контролер ПЗ повинно забезпечувати обслуговування найпопулярніших файлових систем.

Контроль цілісності прикладного програмного забезпечення (ППО) та данихможе виконуватися як апаратним, так і програмним компонентомСЗІ.

3. Розмежування доступу до документів, ресурсів ПК та мережі

Сучасні операційні системи все частіше містять інтегровані засоби розмежування доступу. Як правило, ці засоби використовують особливості конкретної файлової системи(ФС) та засновані на атрибутах, пов'язаних з одним із рівнів API операційної системи. При цьому неминуче виникають дві проблеми.

Прив'язка до особливостей файлової системи. У сучасних операційних системах, як правило, використовуються не одна, а кілька ФС - як нові, так і застарілі. Зазвичай нової ФС вбудоване в ОС розмежування доступу працює, але в старої - може й працювати, оскільки використовує істотні відмінності нової ФС.

Ця обставина зазвичай прямо не обговорюється в сертифікаті, що може ввести користувача в оману. Саме з метою забезпечення сумісності старі ФС у разі включаються до складу нових ОС.

Прив'язка до API операційної системи. Як правило, операційні системи змінюються зараз дуже швидко – раз на рік-півтора. Не виключено, що змінюватимуться ще частіше. Якщо при цьому атрибути розмежування доступу відображають склад API, з переходом на сучасну версію ОС необхідно переробляти налаштування системи безпеки, проводити перенавчання персоналу і т.д.

Таким чином, можна сформулювати загальна вимога- підсистема розмежування доступу має бути накладеною на операційну систему і тим самим бути незалежною від файлової системи. Зрозуміло, склад атрибутів має бути достатнім для цілей опису політики безпеки, причому опис має здійснюватися над термінах API ОС, а термінах, у яких звично працювати адміністраторам безпеки системи.

4.Захист електронних документів

Захист електронного обміну інформацією включає два класи завдань:

Забезпечення еквівалентності документа протягом його життєвого циклу вихідному ЕЛД-еталону;

Забезпечення еквівалентності застосованих електронних технологій еталонним.

Призначення будь-якого захисту - забезпечення стабільності заданих властивостей об'єкта, що захищається у всіх точках життєвого циклу. Захищеність об'єкта реалізується зіставленням еталона (об'єкта у вихідній точці простору та часу) та результату (об'єкта в момент спостереження). Наприклад, у разі, якщо в точці спостереження (отримання ЕлД) є лише дуже обмежена контекстна інформація про еталоні (зміст вихідного ЕлД), зате є повна інформація про результат (спостерігається документ), то це означає, що ЕлД повинен включати до свого складу атрибути, що засвідчують дотримання технічних та технологічних вимог, а саме – незмінність повідомлення на всіх етапах виготовлення та транспортування документа. Одним із варіантів атрибутів можуть бути захисні коди аутентифікації (ЗКА).

Захист документа під час його створення. При створенні документа має апаратно вироблятися Захисний кодавтентифікації. Запис копії електронного документа на зовнішні носії до вироблення ЗКА має бути виключено. Якщо ЕЛД формується оператором, то ЗКА має бути прив'язаний до оператора. Якщо ЕЛД породжується програмним компонентом АС, то ЗКА має вироблятися з прив'язкою до цього компоненту.

Захист документа під час його передачі. Захист документа при його передачі зовнішніми (відкритими) каналами зв'язку повинен виконуватися на основі застосування сертифікованих криптографічних засобів, у тому числі з використанням електронно-цифрового підпису (ЕЦП) для кожного документа, що передається. Можливий і інший варіант - з допомогою ЕЦПпідписується пачка документів, а кожен окремий документ засвідчується іншим аналогом власноручного підпису (АСП), наприклад, ЗКА.

Захист документа при його обробці, зберіганні та виконанні. На цих етапах захист документа здійснюється застосуванням двох ЗКА - вхідного та вихідного для кожного етапу. При цьому ЗКА повинні вироблятися апаратно з прив'язкою до процедури обробки (етапу інформаційної технології). Для документа, що надійшов (з ЗКА і ЕЦП) виробляється другий ЗКА ​​і тільки потім знімається ЕЦП.

Захист документа при доступі до нього із зовнішнього середовища. Захист документа при доступі до нього із зовнішнього середовища включає два вже описані механізми - ідентифікація/автентифікація віддалених користувачів та розмежування доступу до документів, ресурсів ПК та мережі.

5. Захист даних у каналах зв'язку

Традиційно для захисту даних у каналі зв'язку застосовують канальні шифратори і передаються як дані, а й керуючі сигнали.

6. Захист інформаційні технології

Незважаючи на відому схожість, механізми захисту власне Елд як об'єкта (число, дані) і захист Елд як процесу (функція, обчислювальне середовище) радикально відрізняються. При захисті інформаційної технології на відміну захисту ЭЛД достовірно відомі характеристики необхідної технологии-эталона, але є обмежені інформацію про виконання цих вимог фактично використаної технологією, тобто. результаті. Єдиним об'єктом, який може нести інформацію про фактичну технологію (як послідовність операцій), є власне ЕлД, а точніше входять до нього атрибути. Як і раніше, одним із видів цих атрибутів можуть бути ЗКА. Еквівалентність технологій може бути встановлена ​​тим точніше, що більша кількість функціональних операцій прив'язується до повідомлення через ЗКА. Механізми при цьому не відрізняються від застосовуваних при захисті ЕЛД. Більш того, можна вважати, що наявність конкретного ЗКА характеризує наявність у технологічному процесівідповідної операції, а значення ЗКА характеризує цілісність повідомлення цьому етапі технологічного процесу.

7. Розмежування доступу до потоків даних

Для цілей розмежування доступу до потоків даних застосовуються, як правило, маршрутизатори, які використовують криптографічні засоби захисту. У таких випадках особливу увагуприділяється ключовій системі та надійності зберігання ключів. Вимоги до доступу при розмежуванні потоків відрізняються від таких при розмежуванні доступу до файлів та каталогів. Тут можливий лише найпростіший механізм – доступ дозволено чи заборонено.

Виконання цих вимог забезпечує достатній рівень захищеності електронних документів як найважливішого виду повідомлень, що обробляються в інформаційних системах.

Як технічні засоби захисту інформації в даний час розроблений апаратний модуль довіреного завантаження (АМДЗ), що забезпечує завантаження ОС незалежно від її типу для користувача, автентифікованого захисним механізмом. Результати розробки СЗІ НСД «Акорд» (розробник ОКБ САПР) серійно випускаються і є сьогодні найвідомішим у Росії засобом захисту комп'ютерів від несанкціонованого доступу. При розробці була використана специфіка прикладної області, яка відображена в сімействі апаратних засобів захисту інформації в електронному документообігу, які на різних рівнях використовують коди аутентифікації (КА). Розглянемо приклади використання апаратних засобів.

1. У контрольно-касових машинах (ККМ) КА використовуються як засоби аутентифікації чеків як одного з видів ЕЛД. Кожна ККМ має бути забезпечена блоком інтелектуальної фіскальної пам'яті (ФП), яка, крім функцій накопичення даних про підсумки продажів, виконує ще ряд функцій:

Забезпечує захист ПЗ ККМ та даних від НСД;

Виробляє коди аутентифікації як ККМ, і кожного чека;

Підтримує типовий інтерфейс взаємодії із модулем податкового інспектора;

Забезпечує знімання фіскальних даних для подання до податкової інспекції одночасно з балансом.

Розроблений блок ФП "Акорд-ФП" виконаний на основі СЗІ "Акорд". Він характеризується такими особливостями:

Функції СЗІ НСП інтегровані з функціями ФП;

У складі блоку ФП виконано також енергонезалежні регістри ККМ;

Процедури модуля податкового інспектора також інтегровані, як невід'ємна частина до складу блоку «Акорд-ФП».

2. У системі контролю цілісності та підтвердження достовірності електронних документів (СКЦПД) в автоматизованій системі федерального чи регіонального рівня важливою відмінністю є можливість захисту кожного окремого документа. Ця система дозволила забезпечити контроль, не збільшуючи значного трафіку. Основою для створення такої системи став контролер "Акорд-С Б/КА" - високопродуктивний співпроцесор безпеки, що реалізує функції вироблення/перевірки кодів автентифікації.

Забезпечує управління діяльністю СКЦПД загалом регіональний інформаційно-обчислювальний центр (РІВЦ), взаємодіючи при цьому з усіма АРМ КА - АРМ операторів-учасниць, оснащених програмно-апаратними комплексами «Акорд-СБ/КА» (А-СБ/КА) та програмними засобами СКЦПД. До складу РВЦ має входити два автоматизовані робочі місця - АРМ-К для виготовлення ключів, АРМ-Р для підготовки розсипки перевірочних даних.

3. Застосування кодів аутентифікації у підсистемах технологічного захисту ЕлД. Основою реалізації апаратних засобів захисту може бути «Акорд СБ» і «Акорд АМДЗ» (у частині засобів захисту від несанкціонованого доступу). Для захисту технологій використовуються коди автентифікації. Коди аутентифікації електронних документів у підсистемі технологічного захисту формуються та перевіряються на серверах коду аутентифікації (СКА) за допомогою ключових таблиць (таблиць достовірності), що зберігаються у внутрішній пам'яті встановлених у СКА співпроцесорів «Акорд-СБ». Таблиці достовірності, закриті на ключах доставки, доставляються на СКА і завантажуються в внутрішню пам'ятьспівпроцесорів, де і відбувається їхнє розкриття. Ключі доставки формуються та реєструються на спеціалізованому автоматизованому робочому місці АРМ-К та завантажуються у співпроцесори на початковому етапі у процесі їх персоналізації.

Досвід широкомасштабного практичного застосування більше 100 ТОВ модулів апаратних засобів захисту типу «Акорд» в комп'ютерних системах різних організацій Росії та країн ближнього зарубіжжя показує, що орієнтація на програмно-апаратне рішення обрано правильно, оскільки воно має великі можливості для подальшого розвитку та вдосконалення.

Висновки

Недооцінка проблем, пов'язаних з безпекою інформації, може призвести до величезних збитків.

Зростання комп'ютерної злочинності змушує дбати про інформаційну безпеку.

Експлуатація у практиці однотипних масових програмно-технічних засобів (наприклад, IBM-сумісні персональні комп'ютери; операційні системи - Window, Unix, MS DOS, Netware тощо.) створює певною мірою умови для зловмисників.

Стратегія побудови системи захисту має спиратися на комплексні рішення, інтеграцію інформаційних технологій і систем захисту, використання передових методик і засобів, універсальні технології захисту інформації промислового типу.

Запитання для самоконтролю

1. Назвіть види загроз інформації, дайте визначення загрози.

2. Які існують засоби захисту інформації?

3. Охарактеризуйте керування доступом як засіб захисту інформації. Які його роль та значення?

4. У чому полягає призначення криптографічних методів захисту? Перерахуйте їх.

5. Дайте поняття автентифікації та цифрового підпису. У чому їхня сутність?

6. Обговоріть проблеми захисту інформації в мережах та можливості їх вирішення.

7. Розкрийте особливості стратегії захисту з використанням системного підходу, комплексних рішеньта принципу інтеграції в інформаційних технологіях.

8. Перерахуйте етапи створення систем захисту.

9. Які заходи необхідні реалізації технічного захисту технологій електронного документообігу?

10. У чому полягає суть мультиплікативного підходу?

11. Які процедури потрібно виконати, щоб захистити систему електронного документообігу?

12. Які функції виконує мережевий екран?

Тести до гол. 5

Вставте відсутні поняття та словосполучення.

1. Події або дії, які можуть призвести до несанкціонованого використання, спотворення чи руйнування інформації, називаються...

2. Серед загроз безпеки інформації слід виділити два види: ...

3. Перелічені види протидії загрозам безпеці інформації: перешкода, керування доступом, шифрування, регламентація, примус і спонукання відносяться до забезпечення безпеки інформації.

4. Наступні способи протидії загрозам безпеці: фізичні, апаратні, програмні, організаційні, законодавчі, морально-етичні, фізичні належать до забезпечення безпеки інформації.

5. Криптографічні методи захисту інформації ґрунтуються на її...

6. Надання користувачеві унікального позначення для підтвердження його відповідності називається...

7. Встановлення справжності користувача для перевірки його відповідності називається...

8. Найбільша загроза для корпоративних мереж пов'язана:

а) з різнорідністю інформаційних ресурсівта технологій;

б) із програмно-технічним забезпеченням;

в) зі збоями устаткування. Виберіть правильні відповіді.

9. Раціональний рівень інформаційної безпекиу корпоративних мережах насамперед вибирається виходячи з міркувань:

а) конкретизацію методів захисту;

б) економічної доцільності;

в) стратегію захисту.

10. Резидентна програма, що постійно перебуває в пам'яті комп'ютера та контролює операції, пов'язані зі зміною інформації на магнітних дисках, називається:

а) детектором;

в) сторожем;

г) ревізором.

11. Антивірусні засоби призначені:

а) для тестування системи;

б) захисту програми від вірусу;

в) для перевірки програм на наявність вірусу та їх лікування;

г) моніторингу системи.

Саме такий результат дало опитування понад 1000 керівників IT-підрозділів великих та середніх європейських компаній, проведене на замовлення корпорації Intel. Метою опитування було бажання визначити проблему, яка більшою мірою хвилює фахівців галузі. Відповідь була цілком очікуваною, більше половини респондентів назвали проблему мережевої безпеки, проблему, яка потребує негайного вирішення. Також цілком очікуваним можна назвати й інші результати опитування. Наприклад, фактор мережної безпеки лідирує серед інших проблем у галузі інформаційних технологій; ступінь його важливості зріс на 15% порівняно з ситуацією, що існувала п'ять років тому.
За результатами опитування, понад 30% свого часу висококваліфіковані IT-фахівці витрачають на вирішення саме питань забезпечення безпеки. Ситуація, що склалася у великих компаніях (зі штатом понад 500 співробітників), ще тривожніша - близько чверті респондентів витрачають половину свого часу на вирішення цих питань.

Баланс загроз та захисту

На жаль, проблематика мережної безпеки нерозривно пов'язана з основними технологіями, що використовуються в сучасних телекомунікаціях. Так сталося, що з розробки сімейства IP-протоколів пріоритет було віддано надійності функціонування мережі загалом. У період появи цих протоколів мережна безпека забезпечувалася зовсім іншими методами, які просто неможливо використовувати в умовах Глобальної мережі. Можна голосно нарікати на недалекоглядність розробників, але кардинально змінити ситуацію практично неможливо. Зараз просто треба вміти захищатися від потенційних загроз.
Головним принципом у цьому вмінні має бути баланс між потенційними загрозами для мережної безпеки та рівнем необхідного захисту. Повинна бути забезпечена сумісність між витратами на безпеку та вартістю можливої ​​шкоди від реалізованих загроз.
Для сучасного великого та середнього підприємства інформаційні та телекомунікаційні технології стали основою ведення бізнесу. Тому вони виявилися найбільш чутливими до впливу загроз. Чим масштабніша і складніша мережа, тим більших зусиль потребує її захист. При цьому вартість створення загроз на порядки менша за витрати на їх нейтралізацію. Такий стан справ змушує компанії ретельно зважувати наслідки можливих ризиків від різних загроз та обирати відповідні засоби захисту від найбільш небезпечних.
В даний час найбільші загрози для корпоративної інфраструктури становлять дії, пов'язані з несанкціонованим доступомдо внутрішніх ресурсів та з блокуванням нормальної роботи мережі. Існує досить багато таких загроз, але в основі кожної з них лежить сукупність технічних і людських факторів. Наприклад, проникнення шкідливої ​​програмив корпоративну мережу може статися не тільки внаслідок нехтування з боку адміністратора мережі правилами безпеки, але також через надмірну цікавість співробітника компанії, який вирішив скористатися привабливим посиланням з поштового спаму. Тому не варто сподіватися, що навіть найкращі технічні рішення в галузі безпеки стануть панацеєю від усіх бід.

Рішення класу UTM

Безпека завжди є відносним поняттям. Якщо її занадто багато, то помітно ускладнюється користування системою, яку ми збираємося захистити. Тому розумний компроміс стає першочерговим вибором у справі забезпечення безпеки мережі. Для середніх підприємств за російськими мірками такий вибір можуть допомогти зробити рішення класу UTM (Unified Threat Management або United Threat Management)позиціонуються як багатофункціональні пристрої мережної та інформаційної безпеки. За своєю суттю ці рішення є програмно-апаратними комплексами, в яких поєднані функції різних пристроїв: міжмережевого екрану (firewall), системи виявлення та запобігання вторгненням в мережу (IPS), а також функції антивірусного шлюзу (AV). Часто ці комплекси покладається рішення додаткових завдань, наприклад маршрутизації, комутації чи підтримки VPN мереж.
Найчастіше постачальники рішень UTM пропонують використовувати їх у малому бізнесі. Можливо, такий підхід почасти виправданий. Але все ж таки малому бізнесу в нашій країні і простіше, і дешевше скористатися сервісом безпеки від свого інтернет-провайдера.
Як будь-яке універсальне рішення обладнання UTM має свої плюси та мінуси. До перших можна віднести економію коштів та часу на впровадження в порівнянні з організацією захисту аналогічного рівня з окремих пристроїв безпеки. Так само UTM є попередньо збалансованим і протестованим рішенням, яке цілком може вирішити широке коло завдань із забезпечення безпеки. Нарешті, рішення цього класу менш вимогливі до рівня кваліфікації технічного персоналу. З їх налаштуванням, керуванням та обслуговуванням цілком може впоратися будь-який фахівець.
Основним мінусом UTM є факт, що будь-яка функціональність універсального рішення найчастіше менш ефективна, ніж аналогічна функціональність спеціалізованого рішення. Саме тому, коли потрібна висока продуктивність або високий ступінь захищеності, фахівці з безпеки вважають за краще використовувати рішення на основі інтеграції окремих продуктів.
Однак, незважаючи на цей мінус рішення UTM стають затребуваними багатьма організаціями, які сильно відрізняються за масштабом та родом діяльності. За даними компанії Rainbow Technologies, такі рішення були успішно впроваджені, наприклад, для захисту сервера одного з Інтернет-магазинів побутової техніки, який піддавався регулярним DDoS-атакам Також рішення UTM дозволило помітно скоротити обсяг спаму в поштовій системі одного з автомобільних холдингів. Крім вирішення локальних завдань, є досвід побудови систем безпеки на базі рішень UTM для розподіленої мережі, що охоплює центральний офіс пивоварної компанії та її філії.

Виробники UTM та їх продукти

Російський ринок обладнання класу UTM сформований лише пропозиціями закордонних виробників. На жаль, ніхто з вітчизняних виробників поки що не зміг запропонувати власних рішень у даному класі обладнання. Винятком є ​​програмне рішення Eset NOD32 Firewall, яке за повідомленням компанії було створено російськими розробниками.
Як уже зазначалося, на російському ринку рішення UTM можуть бути цікаві головним чином середніми компаніями, корпоративної мережіяких налічується до 100-150 робочих місць. При відборі обладнання UTM для представлення в огляді головним критерієм вибору стала його продуктивність у різних режимах роботи, яка б змогла забезпечити комфортну роботу користувачів. Часто виробники вказують характеристики продуктивності для режимів Firewall, запобігання вторгненню IPS та захисту від вірусів AV.

Рішення компанії Check Pointносить назву UTM-1 Edgeі являє собою уніфікований пристрій захисту, що поєднує міжмережевий екран, систему запобігання вторгненням, антивірусний шлюз, а також засоби побудови VPN та віддаленого доступу. Firewall, що входить у рішення, контролює роботу з великою кількістю додатків, протоколів і сервісів, а також має механізм блокування трафіку, що явно не вписується в категорію бізнес-додатків. Наприклад, трафіку систем миттєвих повідомлень(IM) та однорангових мереж (P2P). Антивірусний шлюз дозволяє відстежувати шкідливий код у повідомленнях електронної пошти, трафіку FTP та HTTP. При цьому немає обмежень на обсяг файлів та здійснюється декомпресія архівних файлів "на льоту".
Рішення UTM-1 Edge має розвинені можливості роботи у VPN мережах. Підтримується динамічна маршрутизація OSPF та підключення VPN клієнтів. Модель UTM-1 Edge W випускається із вбудованою точкою WiFiдоступу IEEE 802.11b/g.
За необхідності великомасштабних впроваджень UTM-1 Edge легко інтегрується із системою Check Point SMART, завдяки чому управління засобами безпеки значно спрощується.

Компанія CiscoЗазвичай приділяє питанням мережевої безпеки підвищену увагу і пропонує широкий набір необхідних пристроїв. Для огляду ми вирішили обрати модель Cisco ASA 5510яка орієнтована на забезпечення безпеки периметра корпоративної мережі. Це обладнання входить до серії ASA 5500, що включає модульні системи захисту класу UTM. Такий підхід дозволяє адаптувати систему забезпечення безпеки до особливостей функціонування мережі конкретного підприємства.
Cisco ASA 5510 поставляється в чотирьох основних комплектах - міжмережевого екрану, засобів побудови VPN, системи запобігання вторгненням, а також засобів захисту від вірусів та спаму. До рішення входять додаткові компоненти, такі як система Security Manager для формування інфраструктури управління при розгалуженій корпоративній мережі, та система Cisco MARS, яка має здійснювати моніторинг мережного середовища та реагувати на порушення безпеки в режимі реального часу.

Словацька компанія Esetпостачає програмний комплекс Eset NOD32 Firewallкласу UTM, що включає, окрім функцій корпоративного фаєрволу, систему антивірусного захисту Eset NOD32, засоби фільтрації поштового (антиспам) та веб-трафіку, системи виявлення та попередження мережевих атак IDS та IPS. Рішення підтримує створення мереж VPN. Цей комплекс побудований на основі серверної платформи, що працює під керуванням Linux. Програмна частина пристрою розроблена вітчизняною компанією Leta IT, підконтрольній російському представництву Eset
Це рішення дозволяє контролювати мережевий трафік у режимі реального часу, підтримується фільтрація контенту за категоріями веб-ресурсів. Забезпечується захист від атак типу DDoS та блокуються спроби сканування портів. У рішення Eset NOD32 Firewall включена підтримка серверів DNS, DHCP та керування зміною пропускну здатністьканалу. Контролюються трафік поштових протоколів SMTP, POP3.
Так само дане рішеннявключає можливість створення розподілених корпоративних мереж за допомогою VPN з'єднань. При цьому підтримуються різні режими об'єднання мереж, алгоритми автентифікації та шифрування.

Компанія Fortinetпропонує цілу родину пристроїв FortiGateкласу UTM, позиціонуючи свої рішення як здатні забезпечити захист мережі за збереження високого рівня продуктивності, а також надійної та прозорої роботи інформаційних систем підприємства в режимі реального часу. Для огляду ми вибрали модель FortiGate-224B, яка орієнтована захисту периметра корпоративної мережі з 150 - 200 користувачами.
Устаткування FortiGate-224B включає функціональність міжмережевого екрану, сервера VPN, фільтрацію web-трафіку, системи запобігання вторгнення, а також антивірусний та антиспамівський захист. Ця модель має вбудовані інтерфейси комутатора локальної мережідругого рівня та WAN-інтерфейси, що дозволяє обійтися без зовнішніх пристроїв маршрутизації та комутації. Для цього підтримується маршрутизація протоколами RIP, OSPF і BGP, а також протоколи автентифікації користувачів перед наданням мережевих сервісів.

Компанія SonicWALLпропонує широкий вибір пристроїв UTM, з якого в цей огляд потрапило рішення NSA 240. Це обладнання є молодшою ​​моделлю в лінійці, яка орієнтована на використання в якості системи захисту корпоративної мережі середнього підприємства та філій великих компаній.
В основі цієї лінійки лежить використання всіх засобів захисту від потенційних загроз. Це міжмережевий екран, система захисту від вторгнення, шлюзи захисту від вірусів та шпигунського програмного забезпечення. Є фільтрація web-трафіку за 56 категоріями сайтів.
Як одна з родзинок свого рішення компанія SonicWALL відзначає технологію глибокого сканування та аналізу трафіку, що надходить. Для виключення зниження продуктивності дана технологіявикористовує паралельну обробку даних багатопроцесорному ядрі.
Це обладнання підтримує роботу з VPN, має розвинені можливості маршрутизації та підтримує різні мережеві протоколи. Також рішення від SonicWALL здатне забезпечити високий рівеньбезпеки при обслуговуванні трафіку VoIP за протоколами SIP та Н.323.

З лінійки продукції компанія WatchGuardдля огляду було обрано рішення Firebox X550e, Яке позиціонується як система, що володіє розвиненою функціональністю для забезпечення мережевої безпеки та орієнтована на використання в мережах малих та середніх підприємств.
В основі рішень класу UTM цього виробника є використання принципу захисту від змішаних мережевих атак. Для цього обладнання підтримує міжмережевий екран, систему запобігання атакам, антивірусний та антиспамівський шлюзи, фільтрацію web-ресурсів, а також систему протидії шпигунського програмного забезпечення.
У цьому обладнанні використовується принцип спільного захисту, згідно з яким мережевий трафік, перевірений за певним критерієм на одному рівні захисту, не перевіряться за цим же критерієм на іншому рівні. Такий підхід дозволяє забезпечувати високу продуктивність обладнання.
Іншою перевагою свого рішення виробник називає підтримку технології Zero Day, яка забезпечує незалежність забезпечення безпеки від наявності сигнатур. Така особливість важлива з появою нових видів загроз, куди ще знайдено ефективне протидія. Зазвичай "вікно вразливості" триває від кількох годин до кількох днів. У разі використання технології Zero Day ймовірність негативних наслідків вікна вразливості помітно знижується.

Компанія ZyXELпропонує своє рішення мережевого екрану класу UTM, орієнтованого використання у корпоративних мережах, що налічують до 500 користувачів. Це рішення ZyWALL 1050призначено для побудови системи мережевої безпеки, що включає повноцінний захист від вірусів, запобігання вторгненням та підтримку віртуальних приватних мереж. Пристрій має п'ять портів Gigabit Ethernet, які можуть налаштовуватися для використання як інтерфейси WAN, LAN, DMZ і WLAN залежно від конфігурації мережі.
Пристрій підтримує передачу трафіку VoIP додатків протоколами SIP і Н.323 на рівні firewall і NAT, а також передачу трафіку пакетної телефонії в тунелях мережі VPN. При цьому забезпечується функціонування механізмів запобігання атакам і загрозам для всіх видів трафіку, включаючи VoIP-трафік, робота антивірусної системи з повною базою сигнатур, контентна фільтрація за 60 категоріями сайтів та захист від спаму.
Рішення ZyWALL 1050 підтримує різних топологій приватних мереж, робочого режиму VPN-концентратора та об'єднання віртуальних мереж у зони з єдиними політиками безпеки.

Основні характеристики UTM

Думка фахівця

Дмитро Костров, директор із проектів Дирекції технологічного захисту корпоративного центру ВАТ "МТС"

Сфера застосування рішень UTM головним чином поширюється на компанії, що належать до підприємств малого та середнього бізнесу. Саме поняття Unified Threat Management (UTM) як окремий клас обладнання для захисту мережевих ресурсів було введено міжнародним агентством IDC, згідно з яким UTM-рішення - це багатофункціональні програмно-апаратні комплекси, в яких поєднані функції різних пристроїв. Зазвичай це міжмережевий екран, VPN, системи виявлення та запобігання вторгненням у мережу, а також функції антивірусного та антиспамівського шлюзів та фільтрації URL.
Для того, щоб досягти дійсно ефективного захисту, пристрій повинен бути багаторівневим, активним і інтегрованим. При цьому багато виробників засобів захисту вже мають досить широку лінійку продуктів, що належать до UTM. Достатня простота розгортання систем, і навіть отримання системи " усі одному " робить ринок зазначених пристроїв досить привабливим. Сукупна вартість володіння та терміни повернення інвестицій при впровадженні даних пристроїв здаються дуже привабливими.
Але це рішення UTM схоже на "швейцарський ніж" - є інструмент на кожен випадок, але щоб пробити в стіні дірку потрібний справжній дриль. Є також можливість, що поява захисту від нових атак, оновлення сигнатур тощо. не буде такими швидкими, на відміну від підтримки окремих пристроїв, що стоять у "класичній" схемі захисту корпоративних мереж. Також залишається проблема єдиної точки відмови.

Інформаційні системи, в яких засоби передачі даних належать одній компанії, використовуються лише для потреб цієї компанії, прийнято називати мережу масштабу підприємства корпоративною комп'ютерною мережею (КС). КС-це внутрішня приватна мережа організації, що об'єднує обчислювальні, комунікаційні та інформаційні ресурси цієї організації та призначена для передачі електронних даних, в якості яких може виступати будь-яка інформація Тим самим ґрунтуючись на вищесказане можна сказати, що всередині КС визначено спеціальну політику, яка описує використовувані апаратні та програмні засоби, правила отримання користувачів до мережевих ресурсів, правила керування мережею, контроль використання ресурсів та подальший розвиток мережі. Корпоративна мережа є мережа окремої організації.

Дещо подібне визначення можна сформулювати виходячи з концепції корпоративної мережі, наведеної в праці Оліфера В.Г. та Оліфера Н.Д. “ Комп'ютерні мережі: принципи, технології, протоколи”: будь-яка організація - це сукупність взаємодіючих елементів (підрозділів), кожен із яких може мати структуру. Елементи пов'язані між собою функціонально, тобто. вони виконують окремі види робіт у рамках єдиного бізнес-процесу, а також інформаційно, обмінюючись документами, факсами, письмовими та усними розпорядженнями і т.д. Крім того, ці елементи взаємодіють з зовнішніми системами, причому їх взаємодія може бути як інформаційним, і функціональним. І ця ситуація справедлива практично для всіх організацій, яким би видом діяльності вони не займалися – для урядової установи, банку, промислового підприємства, комерційної фірми тощо.

Такий загальний погляд організацію дозволяє сформулювати деякі загальні принципи побудови корпоративних інформаційних систем, тобто. інформаційних систем у масштабі всієї організації.

Корпоративна мережа - система, що забезпечує передачу інформації між різними програмами, що використовуються в системі корпорації. Корпоративною мережею вважається будь-яка мережа, що працює за протоколом TCP/IP і використовує комунікаційні стандарти Інтернету, а також сервісні програми, що забезпечують доставку даних для користувачів мережі. Наприклад, підприємство може створити сервер Web для публікації оголошень, виробничих графіків та інших службових документів. Службовці здійснюють доступ до документів за допомогою засобів перегляду Web.

Сервери Web корпоративної мережі можуть забезпечити користувачам послуги, аналогічні послугам Інтернету, наприклад роботу з гіпертекстовими сторінками (що містять текст, гіперпосилання, графічні зображення та звукозаписи), надання необхідних ресурсів на запит клієнтів Web, а також здійснення доступу до баз даних. У цьому посібнику всі служби публікації називаються службами Інтернету незалежно від того, де вони використовуються (в Інтернеті або корпоративній мережі).

Корпоративна мережу, зазвичай, є територіально розподіленої, тобто. об'єднує офіси, підрозділи та інші структури, що знаходяться на значній відстані один від одного. Принципи, якими будується корпоративна мережу, досить сильно від тих, що використовуються під час створення локальної мережі. Це обмеження є принциповим, і при проектуванні корпоративної мережі слід вживати всіх заходів для мінімізації обсягів даних, що передаються. В іншому ж корпоративна мережа не повинна вносити обмежень на те, які саме програми та яким чином обробляють інформацію, що переноситься по ній. Характерною особливістю такої мережі є те, що в ній функціонують обладнання різних виробників і поколінь, а також неоднорідне програмне забезпеченняне орієнтоване спочатку на спільну обробку даних.

Для підключення віддалених користувачів до корпоративної мережі найпростішим і найдоступнішим варіантом є використання телефонного зв'язку. Там, де це можливо, можуть використовуватися мережі ISDN. Для об'єднання вузлів мережі здебільшого використовуються глобальні мережіпередачі даних. Навіть там, де можливе прокладання виділених ліній (наприклад, у межах одного міста) використання технологій пакетної комутації дозволяє зменшити кількість необхідних каналів зв'язку і – що важливо – забезпечити сумісність системи з існуючими глобальними мережами.

Підключення корпоративної мережі до Internet виправдане, якщо вам потрібний доступ до відповідних послуг. У багатьох роботах існує думка з приводу підключення до Internetу: Використовувати Internet як середовище передачі даних варто тільки тоді, коли інші способи недоступні та фінансові міркування переважують вимоги надійності та безпеки. Якщо ви будете використовувати Internet лише як джерело інформації, краще скористатися технологією "з'єднання за запитом" (dial-on-demand), тобто. таким способом підключення, коли з'єднання з вузлом Internet встановлюється тільки за вашою ініціативою і на потрібний час. Це різко знижує ризик несанкціонованого проникнення у вашу мережу ззовні.

Для передачі даних усередині корпоративної мережі також варто використовувати віртуальні каналимереж пакетної комутації. Основні переваги такого підходу - універсальність, гнучкість, безпека

В результаті вивчення структури інформаційних мереж (ІВ) та технології обробки даних розробляється концепція інформаційної безпеки ІВ. У концепції знаходять відображення такі основні моменти:

• 1) Організація мережі організації
• 2) існуючі загрози безпеці інформації, можливості їх реалізації та передбачуваний збиток від цієї реалізації;
• 3) організація зберігання інформації в ІВ;
• 4) організація обробки інформації;
• 5) регламентація допуску персоналу до тієї чи іншої інформації;
• 6) відповідальність персоналу за безпеку.

Розвиваючи цю тему, на основі концепції інформаційної безпеки ІС, наведеної вище, пропонується схема безпеки, структура якої має задовольняти такі умови:

Захист від несанкціонованого проникнення в корпоративну мережу та можливості витоку інформації каналами зв'язку.

Розмежування потоків інформації між сегментами мережі.

Захист критичних ресурсів мережі.

Криптографічний захист інформаційних ресурсів.

Для детального розгляду наведених вище умов безпеки доцільно навести думку: для захисту від несанкціонованого проникнення та витоку інформації пропонується використання міжмережевих екранів або брандмауерів. Фактично брандмауер - це шлюз, який виконує функції захисту мережі від несанкціонованого доступу із за межами (наприклад, з іншої мережі).

Розрізняють три типи брандмауерів:

Шлюз рівня додатків Шлюз рівня додатків часто називають проксі – сервером (proxy server) – виконує функції ретранслятора даних для обмеженої кількості додатків користувача. Тобто, якщо в шлюзі не організовано підтримку того чи іншого додатка, то відповідний сервіс не надається, і дані відповідного типу не можуть пройти через брандмауер.

Фільтруючий маршрутизатор. Фільтруючий маршрутизатор. Точніше це маршрутизатор, додаткові функціїякого входить фільтрування пакетів (packet-filtering router). Використовується на мережах із комутацією пакетів у режимі дейтаграм. Тобто в тих технологіях передачі інформації на мережах зв'язку, в яких площина сигналізації (попереднього встановлення з'єднання між УІ та УП) відсутня (наприклад, IP V 4). В даному випадку прийняття рішення про передачу по мережі пакета даних, що надійшов, ґрунтується на значеннях його полів заголовка транспортного рівня. Тому брандмауери такого типу зазвичай реалізуються як списку правил, що застосовуються до значень полів заголовка транспортного рівня.

Шлюз рівня комутації. Шлюз рівня комутації - захист реалізується у площині управління (на рівні сигналізації) шляхом дозволу чи заборони тих чи інших з'єднань.

Особливе місце приділяється криптографічному захисту інформаційних ресурсів у корпоративних мережах. Так як шифрування є одним із найнадійніших способів захисту даних від несанкціонованого ознайомлення. Особливістю застосування криптографічних засобів є жорстка законодавча регламентація. В даний час у корпоративних мережах вони встановлюються тільки на тих робочих місцях, де зберігається інформація, що має дуже високий рівень важливості.

Так згідно з класифікацією засобів криптографічного захисту інформаційних ресурсів у корпоративних мережах вони поділяються на:

Криптосистеми з одним ключем їх часто називають традиційною, симетричною або з одним ключем. Користувач створює відкрите повідомлення, елементами якого є символи кінцевого алфавіту. Для шифрування відкритого повідомлення генерується ключ шифрування. За допомогою алгоритму шифрування формується шифроване повідомлення

Наведена модель передбачає, що ключ шифрування генерується там, де саме повідомлення. Однак, можливе й інше рішення створення ключа - ключ шифрування створюється третьою стороною (центром розподілу ключів), якій довіряють обидва користувачі. У разі за доставку ключа обом користувачам відповідальність несе третя сторона. Взагалі кажучи, це рішення суперечить самій сутності криптографії - забезпечення таємності інформації користувачів.

Криптосистеми з одним ключем використовують принципи підстановки (заміни), перестановки (транспозиції) та композиції. Під час встановлення окремі символи відкритого повідомлення замінюються іншими символами. Шифрування із застосуванням принципу перестановки передбачає зміну порядку проходження символів у відкритому повідомленні. З метою підвищення надійності шифрування, шифроване повідомлення, отримане застосуванням деякого шифру, може бути ще раз зашифроване за допомогою іншого шифру. Говорять, що в даному випадку застосовано композиційний підхід. Отже, симетричні криптосистеми (з одним ключем) можна класифікувати на системи, які використовують шифри підстановки, перестановки та композиції.

Криптосистема із відкритим ключем. Вона має місце тільки її якщо користувачі при шифруванні і дешифруванні використовують різні ключі KО і KЗ. Цю криптосистему називають асиметричною, із двома ключами або з відкритим ключем.

Отримувач повідомлення (користувач 2) генерує пов'язану пару ключів:

КО - відкритий ключ, який публічно доступний і таким чином виявляється доступним відправнику повідомлення (користувач 1);

KС - секретний, особистий ключ, який залишається відомим лише отримувачу повідомлення (користувач 1).

Користувач 1, маючи ключ шифрування КО, з допомогою певного алгоритму шифрування формує шифрований текст.

Користувач 2, володіючи секретним ключем Kс, може виконати зворотну дію.

У цьому випадку користувач 1 готує повідомлення користувачеві 2 і перед відправленням шифрує повідомлення за допомогою особистого ключа KС. Користувач 2 може дешифрувати це повідомлення, використовуючи відкритий ключ КО. Оскільки повідомлення було зашифровано особистим ключем відправника, воно може виступати в якості цифрового підпису. Крім того, в даному випадку неможливо змінити повідомлення без доступу до особистого ключа користувача 1, тому повідомлення вирішує завдання ідентифікації відправника і цілісності даних.

Насамкінець хотілося б сказати, що за допомогою встановлення криптографічних засобів захисту можна досить надійно захистити робоче місцеспівробітника організації, який безпосередньо працює з інформацією, що має особливе значення для існування цієї організації від несанкціонованого доступу.

Мережева та інформаційна безпека

Забезпечення безпеки корпоративної мережі

Висока безпека та відповідність нормативним вимогам є обов'язковими умовами у проектах з розгортання корпоративних мереж.

Для захисту власних інформаційних ресурсів підприємства впроваджують в інфраструктуру рішення щодо безпеки мережі, що гарантують безпеку мережі та комерційних даних на всіх рівнях:

• міжмережевий екран
• керовані VPN мережі
• пошук та блокування спроб вторгнень у мережу
• захист кінцевих точок обміну трафіком
• корпоративна антивірусна система

Безпека підключень

Для працівників, які перебувають у відрядженнях або працюють із дому, послуга віддаленого доступу до корпоративної мережі стала робочою необхідністю.

Все більше організацій дозволяють партнерам здійснювати віддалений доступ до своїх мереж з метою зменшення витрат на обслуговування систем. Тому захист кінцевих точок обміну трафіком - одне з найважливіших завдань забезпечення безпеки мережі компанії.

Місця, де корпоративна мережа підключається до Інтернету, є периметром безпеки мережі. У цих точках перетинається вхідний та вихідний трафік. Трафік корпоративних користувачів виходить за межі мережі, а інтернет - запити від зовнішніх користувачів для отримання доступу до веб-додатків та програм електронної пошти входять до мережі компанії.

Через те, що у кінцевих точках виконується постійне підключення до Інтернету, яке зазвичай дозволяє проходження зовнішнього трафіку в корпоративну мережу, вона є основною метою атак зловмисників.

При побудові корпоративної мережі безпеки даних на межах мережі в точках виходу Інтернет встановлюють міжмережеві екрани. Ці пристрої дозволяють запобігти та блокувати зовнішні загрози при проведенні термінації VPN тунелів (див. рис. 1).

Рис.1 Периметр безпеки корпоративної мережі

Набір інтегрованих рішень для безпечних підключень від Cisco Systems забезпечує конфіденційність інформації. У мережі ведеться експертиза всіх кінцевих точок та методів доступу у всіх мережах компанії: LAN, WAN та бездротової мобільної мережі

Забезпечується повна доступність міжмережевого екрану та сервісів VPN. Функції міжмережевого екрану забезпечують фільтрацію рівня програм із збереженням стану для вхідного та вихідного трафіку, захищений вихідний доступ для користувачів та мережу DMZ для серверів, до яких необхідно здійснювати доступ з Інтернету.

Системний інтегратор ІЦ Телеком-Сервіс будує мережі корпоративної безпеки на базі багатофункціональних пристроїв захисту Cisco Systems, Juniper Networks та Huawei Technologies, що дозволяють скоротити кількість необхідних пристроїв у мережі.

Комплексні рішення щодо безпеки корпоративної мережі Cisco Systems, Juniper Networks та Huawei Technologies мають низку переваг, важливих для ефективного бізнесу:

• скорочення ІТ-бюджетів на експлуатацію та обслуговування програмно-апаратного забезпечення
• підвищення гнучкості мережі
• зниження витрат на впровадження
• зниження загальної вартості володіння
• посилення контролю за допомогою єдиного управління та запровадження політик безпеки
• підвищення прибутку та збільшення показників ефективності підприємства
• зниження загроз безпеки для мережі та СГД
• застосування ефективних політик безпеки та правил на кінцевих вузлах мережі: ПК, КПК та серверах
• скорочення термінів впровадження нових рішень у галузі безпеки
• ефективна профілактика мережі від вторгнень
• інтеграція з ПЗ інших розробників у галузі безпеки та управління.
• повномасштабне керування доступом до мережі

Продукти безпеки Cisco на всіх рівнях мережі

Безпека кінцевих точок:Програма-агент безпеки Cisco Cisco Security Agent захищає комп'ютери та сервери від атак черв'яків.

Вбудовані міжмережеві екрани:модулі PIX Security Appliance, Catalyst 6500 Firewall Services Module та набір функцій міжмережевого екрану (firewall) захищають мережу всередині та по периметру.

Захист від мережевих вторгнень:Датчики IPS 4200 Series sensors, модулі служб IDS Catalyst 6500 (IDSM-2) або IOS IPS ідентифікують, аналізують та блокують зловмисний небажаний трафік.

Виявлення та усунення атак DDoS:Детектор аномалій трафіку Cisco Traffic Anomaly Detector XT та Guard XT забезпечують нормальну роботуу разі атак, що переривають роботу служби. Модулі служб детектора аномалій трафіку Cisco та Cisco Guard створюють стійкий захист від атак DdoS у комутаторах серії Catalyst 6500 та маршрутизаторах серії 7600.

Безпека контенту:модуль пристрою Access Router Content Engine module захищає бізнес-програми, що працюють з інтернет, забезпечує доставку веб-контенту без помилок.

Інтелектуальні служби адміністрування мережі та систем безпеки: у маршрутизаторах та комутаторах Cisco знаходять та блокують небажаний трафік та програми.

Менеджмент та моніторинг:

Продукти:

CiscoWorks VPN/Security Management Solution (VMS)

CiscoWorksSecurity Information Management System (SIMS) – система управління інформацією про стан безпеки

Вбудовані менеджери пристроїв: менеджер маршрутизаторів та пристроїв безпеки Cisco (SDM), менеджер пристроїв PIX(PDM), менеджер пристроїв адаптивної безпеки (ASDM) швидко та ефективно здійснюють відстеження, ведуть моніторинг служб безпеки та активності мережі.

Технологія Network Admission Control (NAC) від Cisco

Контроль доступу до мережі (Network Admission Control, NAC) – це набір технологій і рішень, фундаментом яких є загальногалузева ініціатива, реалізована під патронажем Cisco Systems.

NAC використовує інфраструктуру мережі для контролю за дотриманням політики безпеки на всіх пристроях, які прагнуть отримати доступ до ресурсів мережі. Так знижується можлива шкода в мережі від загроз безпеки.

Безпечний віддалений доступ до корпоративної VPN співробітникам та партнерам багатофункціональні пристрої захисту забезпечують за допомогою протоколів SSL та IPsec VPN, вбудованих блокувальних сервісів для попередження та запобігання IPS вторгнень.

Self-Defending Network - стратегія мережі, що самозахищається від Cisco

Self-Defending Network є стратегією майбутнього, що розвивається від Cisco. Технологія дозволяє захистити бізнес-процеси підприємства шляхом виявлення та запобігання атакам, адаптації до внутрішніх та зовнішніх загроз мережі.

Підприємства можуть ефективніше використовувати інтелектуальні можливості мережевих ресурсів, оптимізувати бізнес-процеси та скоротити витрати.

Пакет керування безпекою Cisco

Пакет управління безпекою Cisco являє собою набір продуктів і технологій, розроблених для масштабованого адміністрування і посилення політик безпеки для мережі Cisco, що само захищається.

Інтегрований продукт Cisco дозволяє автоматизувати завдання управління безпекою за допомогою ключових компонентів: менеджера управління та Cisco Security MARS – системи моніторингу, аналізу та реагування.

Менеджер управління системою безпеки Cisco має простий інтерфейс для налаштування міжмережевого екрану, VPN та системи захисту від вторгнень (IPS) на пристроях безпеки, міжмережевих екранах, маршрутизаторах та комутаторах Cisco.

Способи захисту інформації на підприємстві, як і способи її видобутку, постійно змінюються. Регулярно з'являються нові пропозиції від компаній, що надають послуги із захисту інформації. Панацеї звичайно немає, але є кілька базових кроків побудови захисту інформаційної системипідприємства, куди вам обов'язково треба звернути увагу.

Багатьом, напевно, знайома концепція глибокого захисту від злому інформаційної мережі. Основна її ідея полягає в тому, щоб використати кілька рівнів оборони. Це дозволить, як мінімум, мінімізувати збитки, пов'язані з можливим порушенням периметра безпеки вашої інформаційної системи.
Далі розглянемо загальні аспекти комп'ютерної безпеки, а також створимо якийсь чекіст, який служить основою для побудови базового захистуінформаційної системи підприємства

1. Міжмережевий екран (файрвол, брендмауер)

Брандмауер чи файрвол – це перша лінія оборони, яка зустрічає непроханих гостей.
За рівнем контролю доступу виділяють такі типи брендмауера:

• У найпростішому разі фільтрація мережевих пакетів відбувається відповідно до встановлених правил, тобто. на основі адрес джерела та призначення мережевих пакетів, номерів мережевих портів;
• Брендмауер, який працює на сеансовому рівні (stateful). Він відстежує активні з'єднання та відкидає підроблені пакети, що порушують специфікації TCP/IP;
• Файрвол, що працює на прикладному рівні. Здійснює фільтрацію на основі аналізу даних програми, що передаються всередині пакета.

Підвищена увага до мережної безпеки та розвиток електронної комерції призвела до того, що все більше користувачів використовують для свого захисту шифрування з'єднань (SSL, VPN). Це досить сильно ускладнює аналіз трафіку, що проходить через міжмережові екрани. Як можна здогадатися, тими самими технологіями користуються розробники шкідливого програмного забезпечення. Віруси, що використовують шифрування трафіку, практично не відрізняються від легального трафіку користувачів.

2. Віртуальні приватні мережі (VPN)

Ситуації, коли співробітнику необхідний доступ до ресурсів компанії з громадських місць (Wi-Fi в аеропорту чи готелі) або з дому (домашню мережу співробітників не контролюють ваші адміністратори), є особливо небезпечними для корпоративної інформації. Для їх захисту необхідно просто використовувати шифровані тунелі VPN. Ні про який доступ до віддаленого робочого столу (RDP) безпосередньо без шифрування не може бути й мови. Це стосується використання стороннього ПЗ: Teamviewer, Aammy Admin і т.д. для доступу до робочої мережі. Трафік через ці програми шифрується, але проходить через непідконтрольні вам сервери розробників цього програмного забезпечення.

До недоліків VPN можна віднести відносну складність розгортання, додаткові витрати на ключі аутентифікації та збільшення пропускної спроможності інтернет-каналу. Ключі автентифікації можуть бути скомпрометовані. Вкрадені мобільні пристроїкомпанії або співробітників (ноутбуки, планшети, смартфони) із попередньо налаштованими параметрами підключення VPN можуть стати потенційною діркою для несанкціонованого доступу до ресурсів компанії.

3. Системи виявлення та запобігання вторгненням (IDS, IPS)

Система виявлення вторгнень (IDS - англ.: Intrusion Detection System) - програмне або апаратний засіб, призначене виявлення фактів неавторизованого доступу до комп'ютерну систему (мережа), чи несанкціонованого управління такою системою. У найпростішому випадку така система допомагає виявити сканування мережевих портів вашої системи чи спроби увійти на сервер. У першому випадку це вказує на початкову розвідку зловмисником, а в другому – спроби злому вашого сервера. Також можна виявити атаки, спрямовані на підвищення привілеїв у системі, неавторизований доступ до важливих файлів, а також дії шкідливого програмного забезпечення. Просунуті мережеві комутатори дозволяють підключити систему виявлення вторгнень, використовуючи дзеркало портів, або через відгалужувачі трафіку.

Система запобігання вторгненням (IPS - англ.: Intrusion Prevention System) -програмна або апаратна система забезпечення безпеки, що активно блокує вторгнення в міру їх виявлення. У разі виявлення вторгнення підозрілий мережевий трафік може бути автоматично перекритий, а повідомлення про це негайно надіслано адміністратору.

4. Антивірусний захист

Антивірусне програмне забезпечення є основним рубежем захисту більшості сучасних підприємств. За даними дослідницької компанії Gartner, обсяг ринку антивірусного програмного забезпечення за підсумками 2012 року становив $19,14 млрд. Основні споживачі - сегмент середнього та малого бізнесу.

Насамперед антивірусний захист націлений на клієнтські пристрої та робочі станції. Бізнес-версії антивірусів включають функції централізованого управління для передачі оновлень антивірусних баз клієнтські пристрої, а також централізованого налаштування політики безпеки. В асортименті антивірусних компаній є спеціалізовані рішення для серверів.
Враховуючи те, що більшість заражень шкідливим програмним забезпеченням відбувається в результаті дій користувача, антивірусні пакети пропонують комплексні варіанти захисту. Наприклад, захист програм електронної пошти, чатів, перевірку відвідуваних користувачів сайтів. Крім того, антивірусні пакети все частіше включають програмний брандмауер, механізми проактивного захисту, а також механізми фільтрації спаму.

5. Білі списки

Що собою представляють "білі списки"? Існують два основні підходи до інформаційної безпеки. Перший підхід передбачає, що в операційній системі за замовчуванням дозволено запуск будь-яких програм, якщо вони раніше не внесені до "чорного списку". Другий підхід, навпаки, передбачає, що дозволено запуск лише тих програм, які заздалегідь були внесені до " білий списокДругий підхід до безпеки звичайно більш переважний у корпоративному світі. Білі списки можна створити, як за допомогою вбудованих засобів операційної системи, так і за допомогою стороннього ПЗ. Антивірусне ПЗ часто пропонує цю функцію у своєму складі Більшість антивірусних програм, що пропонують фільтрацію за білим списком, дозволяють провести початкове налаштуваннядуже швидко, з мінімальною увагою з боку користувача.

Тим не менш, можуть виникнути ситуації, в яких залежність файлів програми з білого списку не були визначені вами або антивірусним ПЗ. Це призведе до збоїв програми або неправильної установки. Крім того, білі списки безсилі проти атак, які використовують вразливість обробки документів програмами з білого списку. Також слід звернути увагу на найслабшу ланку у будь-якому захисті: самі співробітники поспіхом можуть проігнорувати попередження антивірусного програмного забезпечення та додати до білого списку шкідливе програмне забезпечення.

6. Фільтрування спаму

Спам розсилки часто застосовуються для проведення фішингу атак, що використовуються для впровадження троянця або іншого шкодоносу в корпоративну мережу. Користувачі, які щодня обробляють велику кількість електронної пошти, сприйнятливіші до фішинг-повідомлень. Тому завдання ІТ-відділу компанії – відфільтрувати максимальну кількість спаму із загального потоку електронної пошти.

Основні способи фільтрації спаму:

• Спеціалізовані постачальники послуг фільтрації спаму;
• ПЗ для фільтрації спаму на власних поштових серверах;
• Спеціалізовані хардварні рішення розгорнуті в корпоративному дата-центрі.

7. Підтримка ПЗ в актуальному стані

Своєчасне оновлення програмного забезпечення та застосування актуальних латок безпеки – важливий елемент захисту корпоративної мережі від несанкціонованого доступу. Виробники ПЗ, як правило, не надають повної інформації про нову знайдену дірку в безпеці. Однак зловмисникам вистачає і загального опису вразливості, щоб буквально за пару годин після публікації опису нової дірки та латки до неї написати програмне забезпечення для експлуатації цієї вразливості.
Насправді це досить велика проблема для підприємств малого та середнього бізнесу, оскільки зазвичай використовується широкий спектр програмних продуктіврізних виробників. Часто оновленням всього парку не приділяється належної уваги, а це практично відкрите вікно в системі безпеки підприємства. В даний час велика кількість програмного забезпечення самостійно оновлюється з серверів виробника і це знімає частину проблеми. Чому частина? Тому що сервери виробника можуть бути зламані та, під виглядом легальних оновлень, ви отримаєте свіже шкідливе програмне забезпечення. А також самі виробники часом випускають оновлення, що порушують нормальну роботу свого ПЗ. На критично важливих ділянках бізнесу це є неприпустимим. Для запобігання подібним інцидентам усі отримані оновлення, по-перше, повинні бути застосовані відразу після їх випуску, по-друге, перед застосуванням вони обов'язково мають бути ретельно протестовані.

8. Фізична безпека

Фізична безпека корпоративної мережі є одним із найважливіших факторів, який важко переоцінити. Маючи фізичний доступ до мережевого пристроюзловмисник, як правило, легко отримає доступ до вашої мережі. Наприклад, якщо є фізичний доступ до комутатора і в мережі не фільтрується МАС-адрес. Хоча і фільтрація MAC у цьому випадку вас не врятує. Ще однією проблемою є крадіжка чи недбале ставлення до жорстким дискампісля заміни на сервері або іншому пристрої. Враховуючи те, що знайдені там паролі можуть бути розшифровані, серверні шафи та кімнати або ящики з обладнанням повинні завжди бути надійно захищені від проникнення сторонніх.

Ми торкнулися лише деяких з найпоширеніших аспектів безпеки. Важливо також звернути увагу на навчання користувачів, періодичний незалежний аудит інформаційної безпеки, створення та дотримання надійної політики інформаційної безпеки.
Зверніть увагу, що захист корпоративної мережі є досить складною темою, яка постійно змінюється. Ви повинні бути впевнені, що компанія не залежить лише від одного-двох рубежів захисту. Завжди намагайтеся стежити за актуальною інформацією та свіжими рішеннями на ринку інформаційної безпеки.

Скористайтеся надійним захистом корпоративної мережі в рамках послуги «обслуговування комп'ютерів організацій» у Новосибірську.

• Відео уроки Microsoft Word для Початківців від Андрія Сухового
• Поняття та основні види архітектури ЕОМ Архітектура та принципи роботи ЕОМ
• Alcatel one touch pixi first 4024d прошивка
• Інструкція з експлуатації samsung смартфон galaxy j1
• Прошивка lg p705 андроїд 4
• Як вимкнути пін-код на андроїді
• Заводське скидання Sony Xperia XA Dual
• Програма для керування комп'ютерним залом GameClass: Встановлення та налаштування Технічний опис проекту
• Програми для вимикання комп'ютера
• Тестуємо український антивірус Zillya!

• Невідома мережа без доступу до Інтернету?
• Найкращі соціальні мережі Які соцмережі зараз популярні
• Виведення звуку на віндовс 5
• Пошта швеції відстеження поштових відправлень шведська поштова компанія
• У ноутбуці інтернет не працює через нещасні випадки
• Найкраща програма для пакетної обробки фотографій
• Програма для відновлення фотографій з карток пам'яті та інших носіїв
• TreeSize Free Розмір папок
• Панель керування Nvidia: як виправити?
• При включенні ноутбука виходить біос, що робити