Защита от вирусных угроз

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Министерство образования и молодёжной политики

Ставропольского края

Государственное бюджетное образовательное учреждение

среднего профессионального образования

МИНЕРАЛОВОДСКИЙ КОЛЛЕДЖ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Реферат

Защита от вирусных угроз

Дисциплина: Информатика

Разработал: студентка II курса группы АТ-13 по специальности 220415 Автоматика и телемеханика на транспорте (на железнодорожном транспорте)

Иванская Диана Алексеевна

Научный руководитель: преподаватель информатики Иванская С.А.

Минеральные Воды, 2014

Введение

В данном реферате рассматриваются существующие виды угроз безопасности, описывается один из подходов к созданию модели нарушителя, а также возможные сценарии построения комплексной системы защиты от вирусных угроз.

Цель

В рамках реферата рассматриваются антивирусные системы на примере продуктов компании Microsoft

1. Типы информационных вирусов.

2. Основные типы антивирусных средств защиты - средства контроля целостности, антивирусные мониторы и сканеры, антивирусные шлюзы.

3. Типовая схема размещения антивирусных средств защиты.

4. Новые подходы к построению антивирусных средств защиты

5. Описание семейства продуктов Microsoft ForeFront

6. Преимущества Microsoft ForeFront перед другими антивирусными решениями

На сегодняшний день компьютерные вирусы остаются одним из наиболее обсуждаемых видов угроз. Более того именно с защиты от компьютерных вирусов обычно начинают создавать систему информационной безопасности компании. Однако, не смотря на то, что отрасль антивирусной безопасности существует уже более десяти лет, данный вид угроз остаётся одним из наиболее актуальных и опасных. Так, например, по данным многих научно-исследовательских центров в Европе и США, ежегодно увеличивается не только количество успешных вирусных атак, но и уровень ущерба, который наносится компаниям в результате использования злоумышленниками вредоносного кода.

В настоящее время во многих компаниях бытует распространённое мнение о том, что для эффективной защиты АС от вредоносного ПО достаточно установить антивирусные продукты на всех рабочих станциях и серверах, что автоматически обеспечит нужный уровень безопасности. Однако, к сожалению, практика показывает, что такой подход не позволяет в полной мере решить задачу защиты от вредоносного кода. Обусловлено это следующими основными причинами:

· подавляющее большинство антивирусных средств базируется на сигнатурных методах выявления вредоносного ПО, что не позволяет им обнаруживать новые виды вирусов, сигнатуры которых отсутствуют в их базах данных;

· в ряде случаев в организациях отсутствуют нормативно-методические документы, регламентирующие порядок работы с антивирусными средствами защиты. Это может приводить к возможным нарушениям правил эксплуатации, а именно - несвоевременному обновлению сигнатурных баз, отключению компонентов антивирусов, запуску программ с непроверенных информационных носителей и т.д.

· антивирусные средства защиты не позволяют выявлять и устранять уязвимости, на основе которых компьютерные вирусы могут проникать в АС предприятий;

· антивирусы не обладают функциональными возможностями, позволяющими ликвидировать возможные последствия вирусных атак;

· персонал компании зачастую не осведомлён о возможных вирусных угрозах, вследствие чего допускаются непреднамеренные ошибки, приводящие вирусным атакам;

· в большинстве случаев в компаниях используются антивирусные средства защиты одного производителя. Недостатком такого метода является высокий уровень зависимости от продукции этого производителя. Это означает, что в случае если по какой-то причине будет нарушена работоспособность антивирусного ядра или вендор не сможет своевременно обновить свою базу данных, то под угрозой вирусной эпидемии окажется вся инфраструктура компании.

Для того чтобы избежать перечисленных выше недостатков рекомендуется использовать комплексный подход, предусматривающий возможность одновременного применения организационных и технических мер защиты от вирусных угроз.

1. Модель автоматизированной системы

Рассмотрим модель типовой автоматизированной системы, которая потенциально может быть подвержена вирусным атакам.

Автоматизированная система (АС), выступающая в качестве объекта защиты, может моделироваться в виде совокупности взаимодействующих узлов. В качестве узлов могут выступать рабочие станции пользователей, серверы или коммуникационное оборудование. В данной модели каждый узел АС представлен тремя уровнями:

1. уровнем аппаратного обеспечения. На этом уровне функционируют технические средства узла, такие как сетевые адаптеры, процессоры, микросхемы плат и др.;

2. уровнем общесистемного программного обеспечения, на котором функционирует операционная система узла и все её составные модули;

3. уровнем прикладного программного обеспечения. На этом уровне функционирует программное обеспечение (ПО), обеспечивающее решение прикладных задач, для которых предназначена АС.

На каждом из узлов АС могут храниться и обрабатываться информационные ресурсы, доступ к которым может осуществляться посредством локального или сетевого взаимодействия. Локальное взаимодействие осуществляется при помощи элементов управления, непосредственно подключённых к узлам АС (например, консоли, клавиатуры, мыши, внешних портов узла и т.д.). Сетевое взаимодействие реализуется путём обмена с узлом информацией по каналам связи. Такая сетевая передача данных может быть представлена в виде семиуровневой модели взаимодействия открытых систем (ВОС). Каждый уровень этой модели соответствует определенным функциям, которые должны быть выполнены для обеспечения сетевого взаимодействия (табл. 1).

вредоносный код нарушитель антивирусный

Таблица 1. Функции семиуровневой модели взаимодействия открытых систем

Наименование уровня модели	Функции, которые реализуются на соответствующем уровне модели ВОС
Прикладной уровень	Реализуется программный интерфейс для доступа различных приложений к функциям передачи информации по каналам связи АС
Уровень представления	Определяется формат данных, которые будут передаваться между узлами АС по сети
Сеансовый уровень	Выполняются функции установления и закрытия логического соединения между узлами АС
Транспортный уровень	Реализуются функции управления сетевым соединением, по которому передаются данные между узлами АС
Сетевой уровень	Осуществляется управление сетевыми адресами узлов АС, а также обеспечивается фрагментация и сборка передаваемых пакетов данных
Канальный уровень	Обеспечивается преобразование данных в соответствующий формат физической среды передачи информации АС
Физический уровень	Обеспечивается передача информации через физическую среду передачи данных, в качестве которой могут выступать оптоволоконные кабели, экранированные витые пары, беспроводные каналы связи и др.

Помимо уровней модели ВОС, а также уровней аппаратного, общесистемного и прикладного ПО, в АС также присутствует уровень информационных ресурсов, на котором хранятся, обрабатываются и передаются данные АС. Типы и формат информационных ресурсов этого уровня определяются составом и конфигурацией используемого аппаратного и программного обеспечения АС. Так, например, при использовании серверов СУБД в качестве информационных ресурсов могут выступать таблицы базы данных, а при использовании Web-серверов такими ресурсами могут быть гипертекстовые документы.



Рис. 1. Структурная модель АС, состоящая из двух узлов

С учётом рассмотренной выше модели ВОС и трёхуровневой модели узлов, АС может быть представлена в виде множества узлов, которые могут взаимодействовать между собой по каналам связи. На рис.1 показан пример структурной модели АС, состоящей из двух узлов. Далее рассмотрим вирусные угрозы, которые могут реализовываться на различных уровнях рассмотренной модели.

2. Типы вирусных угроз безопасности

Основными видами угроз антивирусной безопасности являются различные типы вредоносного кода, способного нанести ущерб для компании. Вредоносный код может быть представлен в виде компьютерных вирусов, программы типа "Троянский конь", а также программ типа "adware", "spyware" и др.

В соответствии с определением, которое приведено в ГОСТ Р 51188-98 компьютерные вирусы представляют собой специально созданный программный код, способный самостоятельно распространяться в компьютерной среде. В настоящее время можно выделить следующие типы вирусов: файловые и загрузочные вирусы, "сетевые черви", бестелесные вирусы, а также комбинированный тип вирусов. Каждый из этих типов вируса отличается типом носителя, а также методом распространения в АС. В большинстве случаев компьютерные вирусы направлены на нарушение работоспособности автоматизированной системы компании.

Программы типа "Троянский конь" (Trojan Horses) также относятся к вредоносному программному коду, однако, в отличие от вирусов, не имеют возможности самостоятельного распространения в АС. Программы данного типа маскируются под штатное ПО системы и позволяют нарушителю получить удалённый несанкционированный доступ к тем узлам, на которых они установлены.

Вредоносное ПО типа "spyware" предназначено для сбора определённой информации о работе пользователя. Примером таких данных может служить список Web-сайтов, посещаемых пользователем, перечень программ, установленных на рабочей станции пользователя, содержимое сообщений электронной почты и др. Собранная информация перенаправляется программами "spyware" на заранее определённые адреса в сети Интернет. Вредоносное ПО данного типа может являться потенциальным каналом утечки конфиденциальной информации из АС.

Основная функциональная задача вредоносных программ класса "adware" заключается в отображении рекламной информации на рабочих станциях пользователей. Для реализации этого они, как правило, выводят на экран пользователя рекламные баннеры, содержащие информацию о тех или иных товарах и услугах. В большинстве случаев эти программы распространяются вместе с другим ПО, которое устанавливается на узлы АС. Несмотря на то, что программы типа "adware" не представляют непосредственную угрозу для конфиденциальности или целостности информационных ресурсов АС их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций.

Вирусы могут проникать в АС посредством локального или сетевого взаимодействия. Первый вариант предполагает использование съёмных носителей, таких как диски CD-ROM или DVD-ROM, floppy- и zip-диски, USB-диски, а также карты дополнительной памяти, которые применяются в мобильных устройствах, таких как PDA, смартфоны, фотоаппараты и т.д. Инфицирование АС в этом случае может осуществляться посредством загрузки хоста с заражённого носителя или запуска заражённого файла. При этом съёмные носители могут подключаться к хостам АС при помощи внешних портов типа USB, FireWire, COM, LPT и др.

Для инфицирования АС через сетевое взаимодействие может быть использован один из следующих каналов: электронная почта, пиринговые сети P2P (Peer-To-Peer), сетевые каталоги и файлы, система обмена мгновенными сообщениями (instant messaging), протоколы доступа к Интернет-ресурсам и др.

Последствия вирусных угроз могут воздействовать на аппаратное, общесистемное или прикладное программное обеспечение, а также на информацию, которая хранится в АС. Воздействие вирусов на аппаратное обеспечение, как правило, направлено на несанкционированное изменение памяти микросхемы BIOS, расположенной на материнской плате инфицированного компьютера. В результате такой вирусной атаки может быть изменён пароль доступа к настройкам BIOS или полностью искажено содержимое памяти BIOS, что приведёт к блокированию возможности загрузки компьютера. Восстановление работоспособности хоста в этом случае может потребовать перепрограммирования памяти BIOS.

В процессе воздействия на общесистемное и прикладное программное обеспечение вирусы модифицируют компоненты операционных систем, а также тех программ, которые установлены. Для ликвидации последствий этого типа необходимо провести восстановление отдельных файлов или переустановку инфицированных программ.

Вирусное воздействие на информационном уровне направлено на объекты данных, которые обрабатываются общесистемным и прикладным ПО АС. Примерами таких объектов могут являться файлы, таблицы баз данных, хранилища электронной почты, адресные книги пользователей и др.

Необходимо отметить, что вместе с развитием информационных технологий появляются новые виды вредоносного кода.

3. Модель нарушителя антивирусной безопасности

Практика показывает, что стратегия антивирусной безопасности предприятия должна определяться моделью нарушителя, от которого должна быть защищена компания.

В модели нарушителя (табл. 2) определены четыре класса потенциальных нарушителей, каждый из которых характеризуется определённым уровнем квалификации и степенью преднамеренности выполняемых действий.

Нарушители, относящиеся к классу "Н-1", представляют собой рядовых сотрудников, в результате непреднамеренных действий которых может произойти инфицирование автоматизированной системы компании. Примерами таких действий являются скачивание из сети Интернет непроверенных файлов и запуск их на локальном компьютере.

Нарушители класса "Н-2" выполняют преднамеренные действия, однако для проведения вирусной атаки используются известные экземпляры вредоносного кода, а также опубликованные уязвимости программного обеспечения.

Класс нарушителей "Н-3" предполагает наличие у злоумышленника более высокого уровня квалификации, что даёт ему возможность использовать вредоносный код, который может детектироваться не всеми антивирусными продуктами.

Нарушители класса "Н-4" являются наиболее опасными и обладают достаточной квалификацией для разработки вредоносного кода, который не обнаруживается антивирусными программными продуктами.

Необходимо отметить, что в рамках описанной модели предполагается, сто нарушители "Н-2", "Н-3" и "Н-4" являются внешними по отношению к атакуемой компании и обладают минимум информации об автоматизированной системе предприятия.

Общая характеристика описанной модели нарушителя приведена в таблице ниже.

Таблица 2. Модель потенциального нарушителя антивирусной безопасности

№	Класс нарушителя	Степень преднамеренности действий нарушителя	Уровень квалификации нарушителя
1	Класс "Н-1"	Непреднамеренные действия	-
2	Класс "Н-2"	Преднамеренные действия	Низкий
3	Класс "Н-3"	Преднамеренные действия	Средний
4	Класс "Н-4"	Преднамеренные действия	Высокий

Представленная модель является лишь одним из возможных примеров классификации нарушителя. Данная модель может быть значительно расширена за счет добавления в неё следующих параметров:

· вид нарушителя: внешний или внутренний;

· уровень знаний об автоматизированной системе компании и применяемых средствах защиты информации;

· возможность использования потенциальным нарушителем специализированных программных средств в автоматизированной системе компании;

· и др.

4 Модель защиты компаний от вредоносного кода

Для защиты от нарушителей класса "Н-1" и "Н-2" достаточно использовать стандартное антивирусное программное обеспечение одного производителя, установив его на все рабочие станции и серверы в компании. Такой подход может применяться для небольших компаний, а также для предприятий, где обрабатывается небольшой объём конфиденциальной информации.

Для защиты от нарушителя класса "Н-3" необходимо использовать многовендорный вариант антивирусной защиты, который предусматривает применение антивирусных ядер различных производителей. Это позволит существенно повысить вероятность обнаружения вируса за счёт того, что каждый файл или почтовое сообщение будет проверяться различными ядрами. Ещё одним преимуществом использования многоядерных антивирусов является более высокая надёжность работы системы антивирусной защиты. В случае, если в одном из сканирующих ядер системы произойдёт сбой, то оно всегда может быть заменено другим активным антивирусным ядром. Как правило, выделяют три уровня антивирусной защиты, на каждом из которых могут использоваться антивирусные продукты различных производителей (рис. 2):

· уровень шлюза, на котором средства антивирусной защиты устанавливаются на межсетевом экране или прокси-сервере. Еще одним вариантом защиты АС на уровне шлюза может являться установка специализированных программно-аппаратных комплексов (appliance'ов) в точке подключения АС к сети Интернет;

· уровень серверов, в рамках которого антивирусные агенты устанавливаются на файловые, почтовые и другие серверы АС;

· уровень рабочих станций пользователей, на котором антивирусы устанавливаются на все рабочие места пользователей с возможностью централизованного управления с единой консоли.

Рис. 2. Схема размещения элементов многовендорной антивирусной защиты

В качестве альтернативы использования нескольких продуктов различных производителей возможно применение программных комплексов, которые включают в себя несколько ядер с единой консолью управления. Примером продуктов такого класса является система ForeFront компании Microsoft (www.forefront.ru). В этой связи необходимо отметить, что антивирусный продукт ForeFront может включать в себя одновременно от пяти до девяти антивирусных ядер различных производителей.

Описанный выше подход к защите от нарушителей класса "Н-3" рекомендуется применять для компаний средних размеров.

Для защиты от нарушителей класса "Н-4" применение одних лишь антивирусных продуктов недостаточно, так как злоумышленники данной категории обладают возможностями создавать вредоносный код, который не обнаруживается антивирусами. Поэтому в дополнение к многовендорной антивирусной защите в АС компании необходимо использовать подсистему сетевого экранирования, выявления и предотвращения атак, а также обнаружения уязвимостей.

Подсистема выявления и предотвращения атак предназначена для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в АС, а также событий, регистрируемых на серверах и рабочих станциях пользователей. Подсистема дополняет функции межсетевых и персональных экранов за счёт возможности более детального контекстного анализа содержимого передаваемых пакетов данных. Данная подсистема включает в себя следующие компоненты:

· сетевые и хостовые сенсоры, предназначенные для сбора необходимой информации о функционировании АС. Сетевые сенсоры реализуются в виде отдельных программно-аппаратных блоков и предназначены для сбора информации обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен сенсор. Данный тип сенсоров устанавливается во всех ключевых сегментах АС, где расположены защищаемые узлы системы. Хостовые сенсоры устанавливаются на рабочие станции и серверы АС и собирают информацию обо всех событиях, происходящих на этих узлах системы. Хостовые сенсоры могут собирать информацию не только о пакетах данных, но и других операциях, которые выполняются приложениями, запущенными на узле АС;

· модуль выявления атак, выполняющий обработку данных, собранных сенсорами, с целью обнаружения информационных атак нарушителя. Данный модуль подсистемы должен реализовывать сигнатурные и поведенческие методы анализа информации;

· модуль реагирования на обнаруженные атаки. Модуль должен предусматривать возможность как пассивного, так и активного реагирования. Пассивное реагирование предполагает оповещение администратора о выявленной атаке, в то время как активное - блокирование попытки реализации вирусной атаки;

· модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы подсистемы.

Подсистема выявления уязвимостей должна обеспечивать возможность обнаружения технологических и эксплуатационных уязвимостей АС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование. Для проведения сканирования могут использоваться как пассивные, так и активные методы сбора информации. По результатам работы подсистема должна генерировать детальный отчёт, включающий в себя информацию об обнаруженных уязвимостях, а также рекомендации по их устранению. Совместно с подсистемой выявления уязвимостей в АС может использоваться система управления модулями обновлений общесистемного и прикладного ПО, установленного в АС. Совместное использование этих систем позволит автоматизировать процесс устранения выявленных уязвимостей путём установки необходимых обновлений на узлы АС (service pack, hotfix, patch и др.).

Подсистема управления антивирусной безопасностью, предназначенная для выполнения следующих функций:

· удалённой установки и деинсталляции антивирусных средств на серверах и рабочих станциях пользователей;

· удалённого управления параметрами работы подсистем защиты, входящих в состав комплексной системы антивирусной защиты;

· централизованного сбора и анализа информации, поступающей от других подсистем. Данная функция позволяет автоматизировать процесс обработки поступающих данных, а также повысить оперативность принятия решений по реагированию на выявленные инциденты, связанные с нарушением антивирусной безопасности.

Описанный выше подход к защите от нарушителей класса "Н-4" целесообразно применять в крупных и территориально-распределённых компаниях, ресурсы которых потенциально могут быть подвержены целевым атакам злоумышленников, реализуемых при помощи вредоносного кода.

В таблице 3 показаны основные механизмы защиты, которые должны применяться в зависимости от выбранного класса нарушителя.

Таблица 3. Модель защиты от потенциального нарушителя антивирусной безопасности

№	Класс нарушителя	Механизмы безопасности
1	Класс "Н-1"	Антивирусные продуты одного производителя
2	Класс "Н-2"
3	Класс "Н-3"	Антивирусные продукты различных производителей
4	Класс "Н-4"	Антивирусные продукты различных производителей, средства межсетевого экранирования, средства обнаружения и предотвращения атак, обнаружения уязвимостей

Технологическое обеспечение должно быть направлено на создание комплексной системы антивирусной защиты (КСАЗ). Рассмотрим подсистемы защиты, которые должны входить в состав КСАЗ для обеспечения защиты на уровне сети, рабочих станций и серверов АС.

5. Защита на уровне сети

Основным компонентом КСАЗ на уровне сети является система разграничения доступа, которая может реализовываться на трёх уровнях модели ВОС - канальном, сетевом и прикладном. На канальном уровне разграничение доступа осуществляется на основе виртуальных локальных сетей VLAN (Virtual Local Area Network), на которые разделяется АС. Деление на такие виртуальные сети производится при помощи настроек коммутаторов, в которых каждый физический порт включается в определённую виртуальную сеть. Хосты могут свободно обмениваться данными друг с другом в рамках одной виртуальной сети, а управление взаимодействием между различными виртуальными сетями осуществляется посредством списков контроля доступа ACL (Access Control List). В этих списках определяются правила, в соответствии с которыми разрешается или запрещается информационный обмен между разными сетями VLAN. Так, например, если для работы АС два узла не должны обмениваться между собой информацией, то они разделяются на разные виртуальные сети, между которыми запрещается взаимодействие. В случае, если компьютерный проникнет на один из таких узлов АС ему не удастся получить доступ к тем ресурсам, которые хранятся на других серверах, включённых в другие виртуальные сети.

На сетевом и транспортном уровнях модели ВОС для разграничения доступа могут применяться межсетевые экраны, предназначенные для блокирования потенциально опасных пакетов данных, на основе которых распространяются компьютерные вирусы. Как правило, межсетевые экраны устанавливаются в точке подключения АС к сети Интернет и обеспечивают фильтрацию пакетов с вредоносным кодом.

Разграничение доступа на прикладном уровне может реализовываться на основе технологий, обеспечивающих возможность проверки уровня безопасности рабочих станций перед предоставлением им доступа к ресурсам АС. Так, например, если на рабочей станции будет отсутствовать антивирусное ПО, или не будут обновлены сигнатурные базы данных, то в этом случае доступ станции к АС будет заблокирован. Примером такой технологии является Cisco Network Admission Control.

На прикладном уровне модели ВОС рекомендуется использоваться сетевые средства обнаружения и предотвращения атак, предназначенные для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в АС. Подсистема дополняет функции межсетевых экранов за счёт возможности более детального контентного анализа содержимого передаваемых пакетов данных. Датчики системы обнаружения атак устанавливаются до и после МЭ, а также в каждом из защищаемых сегментов.

Помимо системы обнаружения атак для защиты АС также рекомендуется использования средства анализа защищённости, предназначенные для выявления технологических и эксплуатационных уязвимостей АС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование.

На прикладном уровне также могут использоваться шлюзовые средства антивирусной защиты, позволяющие сканировать файлы, передаваемые по сетевым протоколам SMTP, POP3, HTTP, FTP и др. Данный тип антивирусов подключается к межсетевому экрану, прокси-серверу или устанавливается в разрыв канала связи на выделенном узле. На уровне шлюза также может обеспечиваться защита от почтовых сообщений, содержащих спам.

Средства защиты от вирусных угроз на уровне сети перечислены в таблице 4.

Таблица 4. Средства защиты от вирусов на уровне сети

№	Уровень модели ВОС	Наименование средств защиты
	Прикладной уровень	· Шлюзовые средства антивирусной защиты · Шлюзовые средства защиты от спама · Сетевые системы обнаружения атак · Средства контроля доступа к ресурсам АС · Средства анализа защищённости
2	Транспортный уровень	Межсетевые экраны
3	Сетевой уровень
4	Канальный уровень	Средства разграничение доступа средствами VLAN
5	Физический уровень	Физическое изолирование определённых сегментов АС друг от друга

6 Защита на уровне рабочих станций пользователей

Базовым элементом защиты рабочих станций являются средства антивирусной защиты (см. табл. 5). Основная задача данных средств заключается в антивирусной проверке всех файлов, которые поступают на рабочую станцию по сети или через внешние носители информации. В дополнении к средствам антивирусной защиты на станции рекомендуется устанавливать персональные сетевые экраны, которые позволяют контролировать сетевую активность приложений, а также хостовые средства обнаружения атак. В случае, если на станциях пользователей обрабатывается конфиденциальная информация, то она должна подлежать резервному копированию.

Таблица 5. Средства защиты от вирусов на уровне рабочих станций пользователей

№	Уровень модели узла АС	Наименование средств защиты
1	Уровень информационных ресурсов	Средства резервного копирования информации
2	Уровень прикладного ПО	· Средства антивирусной защиты · Персональные сетевые экраны · Хостовые средства обнаружения и предотвращения атак
3	Уровень общесистемного ПО
4	Уровень аппаратного обеспечения	--

7 Защита на уровне серверов

На серверы, также как и на рабочие станции должны устанавливаться средства антивирусной защиты, обеспечивающие выявление и блокирование вредоносного кода. В отличие от рабочих станций, для обеспечения более высокого уровня защиты на серверы могут устанавливаться многовендорные антивирусы, в состав которых одновременно входит несколько сканирующих ядер различных производителей.

Для защиты почтовых серверов от спама на них может быть установлено специализированное ПО, позволяющее выявлять сообщения рекламного характера (см. таблицу 6).

Таблица 6. Средства защиты от вирусов на уровне серверов

№	Уровень модели узла АС	Наименование средств защиты
1	Уровень информационных ресурсов	· Средства контроля целостности информации · Средства резервного копирования информации
2	Уровень прикладного ПО	· Средства антивирусной защиты · Средства защиты от спама · Персональные сетевые экраны · Хостовые средства обнаружения и предотвращения атак
3	Уровень общесистемного ПО
4	Уровень аппаратного обеспечения	--

Помимо рассмотренных выше средств защиты АС, функционирующих на уровне сети, рабочих станций и серверов, в состав КСАЗ также должна входить подсистема управления антивирусной безопасностью, предназначенная для выполнения следующих функций:

· удалённой установки и деинсталляции антивирусных средств на серверах и рабочих станциях пользователей;

· удалённого управления параметрами работы подсистем защиты, входящих в состав КСАЗ;

· централизованного сбора и анализа информации, поступающей от других подсистем. Данная функция позволяет автоматизировать процесс обработки поступающих данных, а также повысить оперативность принятия решений по реагированию на выявленные инциденты, связанные с нарушением антивирусной безопасности.

Общая схема размещения подсистем защиты, входящих в состав комплексной системы антивирусной безопасности в АС показана на рис. 3.



Рис. 3. Общая схема размещения средств защиты в АС

Важно отметить, что внедрение такой комплексной системы антивирусной защиты представляет собой сложный многоступенчатый процесс.

8 Комплексный подход к внедрению системы антивирусной защиты

Комплексный подход к защите от вредоносного кода предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. Процесс внедрения может включать в себя следующие этапы (рис. 4):

· аудит информационной безопасности АС, который направлен на сбор исходной информации, необходимой для разработки плана внедрения КСАЗ. В рамках аудита проводится проверка эффективности используемых механизмов безопасности, определяются основные уязвимости в системе мер антивирусной защиты и вырабатываются рекомендации по их устранению.

· формирование требований к КСАЗ, предназначенной для защиты АС. На данном этапе формируется техническое задание на внедрение КСАЗ;

· разработка технорабочего проекта по внедрению КСАЗ, содержащего описание проектных решений, схем установки, параметров настройки КСАЗ и других служебных данных;

· обучение сотрудников по вопросам противодействия вирусным угрозам, а также персонала организации, ответственного за администрирование КСАЗ. Программа обучения должна быть направлена на минимизацию рисков, связанных с ошибочными действиями пользователей, приводящих к реализации вирусных атак. Примерами таких действий являются: запуск приложений с непроверенных внешних носителей, использование нестойких к угадыванию паролей доступа, закачка ActiveX-объектов с недоверенных Web-сайтов и др. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты антивирусной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того к каким информационным ресурсам он имеет доступ.

· пусконаладочные работы, связанные с развёртыванием КСАЗ. В рамках данного этапа работ сначала создаётся пилотная зона, в которой проводится предварительное тестирование внедряемой КСАЗ, после которого реализуется полномасштабное внедрение комплекса защиты в АС;

· техническое сопровождение КСАЗ, в рамках которого решаются вопросы, связанные с обслуживанием системы в процессе её эксплуатации.

Состав этапов, а также их длительность зависит от размерности защищаемой АС, а также от масштабов внедрения КСАЗ. Работы, связанные с внедрением и эксплуатацией СОА могут проводиться как собственными силами предприятия, так и с привлечением внешних организаций, специализирующихся на предоставлении услуг в области информационной безопасности.

Рис. 4. Процесс внедрения комплексной системы антивирусной защиты

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при условии наличия нормативно-методического, технологического и кадрового обеспечения антивирусной безопасности.

Нормативно-методическое обеспечение антивирусной безопасности предполагает создание сбалансированной правовой базы в области защиты от вирусных угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы антивирусной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АС, количества объектов защиты и т.д. Так, например, для крупных организаций основополагающим нормативным документом в области защиты от вредоносного кода должна быть концепция или политика антивирусной безопасности. Для небольших компаний достаточно разработать соответствующие инструкции и регламенты работы пользователей, а также включить требования к обеспечению антивирусной защиты в состав политики информационной безопасности организации.

Вывод

Многочисленные исследования, проведенные известными и признанными во многих странах организациями, убедительно показывают значимость вирусных угроз, представляющих существенную опасность для автоматизированных систем компаний. Можно констатировать, что эффективная защита от вирусных угроз возможна при использовании комплексного подхода к решению этой проблемы. Применение комплекса взаимоувязанных организационных и программно-технических средств защиты даст возможность существенным образом повысить уровень защиты предприятия и минимизировать вероятность успешной реализации вирусных атак.

Размещено на Allbest.ru

...