Обеспечение безопасности информационных ресурсов
Personal Firewall позволяет управлять действиями программ, которые могут нанести вред системе безопасности компьютера. Можно управлять способами обработки компьютером попыток вторжений злоумышленников, блокировки опасных подключений и даже подготовки отчетов об уязвимостях системы безопасности. Некоторым программам на компьютере необходимо создавать входящие и исходящие подключения к Интернету… Читать ещё >
Обеспечение безопасности информационных ресурсов (реферат, курсовая, диплом, контрольная)
Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Тульский государственный университет КУРСОВАЯ РАБОТА по дисциплине
«Организационное обеспечение защиты информации»
на тему:
Обеспечение безопасности информационных ресурсов Выполнил: Шараненков А. М студент группы 652 291
Проверил преподаватель Куприянов А.О.
Тула 2013 г.
1. Защищаемый объект: рабочие станции пользователей
2. Возможные угрозы для исследуемого объекта
3. Методы защиты: экранирование
4. Межсетевой экран McAfee Personal
Заключение
Использованная литература
5.
Значение информации в жизни любого цивилизованного общества непрерывно возрастает. С незапамятных времен сведения, имеющие важное военно-стратегическое значение для государства, тщательно скрывались и защищались. В настоящее время информация, относящаяся к технологии производства и сбыта продукции, стала рыночным товаром, имеющим большой спрос, как на внутреннем, так и на внешнем рынках. Информационные технологии постоянно совершенствуются в направлении их автоматизации и способов защиты информации.
Развитие новых информационных технологий сопровождаются такими негативными явлениями, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к секретной и конфиденциальной информации. Поэтому защита информации является важнейшей государственной задачей в любой стране.
Острая необходимость в защите информации в России нашла выражение в создании Государственной системы защиты информации (ГСЗИ) и в развитии правовой базы информационной безопасности. Приняты и введены в действие законы «О государственной тайне», «Об информации, информатизации и защите информации», «О правовой охране программ для электронных вычислительных машин и баз данных», «Доктрина информационной безопасности Российской Федерации» и др.
Защита информации должна обеспечивать предотвращение ущерба в результате утери (хищения, утраты, искажения, подделки) информации в любом ее виде. Организация мер защиты информации должна проводиться в полном соответствии с действующими законами и нормативными документами по безопасности информации, интересами пользователей информации. Чтобы гарантировать высокую степень защиты информации, необходимо постоянно решать сложные научно-технические задачи разработки и совершенствования средств ее защиты.
Большинство современных предприятий независимо от вида деятельности и форм собственности не может успешно вести хозяйственную и иную деятельность без обеспечения системы защиты своей информации, включающей организационно-нормативные меры и технические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах (АС).
1. Защищаемый объект: рабочие станции пользователей
Рабочая станция как место работы специалиста представляет собой полноценный компьютер или компьютерный терминал (устройства ввода-вывода, отделённые и часто удалённые от управляющего компьютера), набор необходимого ПО, по необходимости, дополняемые вспомогательным оборудованием: печатающее устройство, внешнее устройство хранения данных на магнитных и/или оптических носителях, сканер штрих-кода и пр.
В советской литературе также использовался термин АРМ (автоматизированное рабочее место), но в более узком смысле, чем «рабочая станция».
Также термином «рабочая станция» обозначают стационарный компьютер в составе локальной вычислительной сети (ЛВС) по отношению к серверу. В локальных станциях пользователи решают прикладные задачи (работают в базах данных, создают документы, делают расчёты, играют в компьютерные игры.)
Сервер обслуживает сеть и предоставляет собственные ресурсы всем узлам сети, в том числе и рабочим станциям.
Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз безопасности АС. Перечень значимых угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа рисков и формулирования требований к системе зашиты АС.
Автоматизированные системы в общем состоят из следующих основных структурно-функциональных элементов:
* рабочих станций — отдельных ЭВМ или терминалов сети, на которых реализуются автоматизированные рабочие места пользователей (абонентов, операторов);
* серверов или host-машин (служб файлов, печати, баз данных и т. п.) не выделенных (или выделенных, то есть не совмещенных с рабочими одной и той же сети, возможно имеющих различные протоколы взаимодействия;
* каналов связи (локальных, телефонных, с узлами коммутации станциями) высокопроизводительных ЭВМ, предназначенных для реализации функций хранения, печати данных, обслуживания рабочих станций сети и т. п. действий;
* сетевых устройств (маршрутизаторов, коммутаторов, шлюзов, центров коммутации пакетов, коммуникационных ЭВМ) — элементов, обеспечивающих соединение нескольких сетей передачи данных, либо нескольких сегментов и т. д.)
Рабочие станции являются наиболее доступными компонентами сетей и именно с них могут быть предприняты наиболее многочисленные попытки совершения несанкционированных действий.
С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Именно на рабочих станциях осуществляется ввод имен и паролей пользователями. Поэтому рабочие станции должны быть надежно защищены от доступа посторонних лиц и должны содержать средства разграничения доступа к ресурсам со стороны законных пользователей, имеющих разные полномочия. Кроме того, средства защиты должны предотвращать нарушения нормальной настройки (конфигурации) рабочих станций и режимов их функционирования, вызванные неумышленным вмешательством неопытных (невнимательных) пользователей.
2. Возможные угрозы для исследуемого объекта
Под угрозой обычно понимают потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам.
Основными источниками угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:
* стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т. п.);
* сбои и отказы оборудования (технических средств) АС;
* ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т. п.);
* ошибки эксплуатации (пользователей, операторов и другого персонала);
* преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т. п.).
Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).
Естественные угрозы — это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы — это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
* непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т. п.;
* преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).
Источники угроз по отношению к автоматизированным системам могут быть внешними или внутренними (компоненты самой АС — ее аппаратура, программы, персонал, конечные пользователи).
Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):
1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т. п.);
2) неправомерное отключение оборудования или изменение режимов работы устройств и программ;
3) неумышленная порча носителей информации;
4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.);
5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
6) заражение компьютера вирусами;
7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т. п.);
9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
10) игнорирование организационных ограничений (установленных правил) при работе в системе;
11) вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т. п.);
12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
13) пересылка данных по ошибочному адресу абонента (устройства);
14) ввод ошибочных данных;
15) неумышленное повреждение каналов связи.
Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
1) физическое разрушение системы (путем взрыва, поджога и т. п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т. п.);
2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.);
3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т. п.);
4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);
5) вербовка (путем подкупа, шантажа и т. п.) персонала или отдельных пользователей, имеющих определенные полномочия;
6) применение подслушивающих устройств, дистанционная фотои видео-съемка и т. п.;
7) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сели питания, отопления и т. п.);
8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);
10) несанкционированное копирование носителей информации;
11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.);
12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки операционных систем и систем программирования;
14) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т. д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»);
15) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т. п.;
16) вскрытие шифров криптозащиты информации;
17) внедрение аппаратных «спецвложений», программных «закладок» и «вирусов» («троянских коней» и «жучков»), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему зашиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
18) незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
19) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.
Все каналы проникновения в систему и утечки информации разделяют на прямые и косвенные. Под косвенными, понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы. Для использования прямых каналов такое проникновение необходимо. Прямые каналы могут использоваться без внесения изменений в компоненты системы или с изменениями компонентов.
По типу основного средства, используемого для реализации угрозы все возможные каналы можно условно разделить на три группы, где таковыми средствами являются: человек, программа или аппаратура По способу получения информации потенциальные каналы доступа можно разделить на:
* физический;
* электромагнитный (перехват излучений);
* информационный (программно-математический).
При контактном НСД (физическом, программно-математическом) возможные угрозы информации реализуются путем доступа к элементам АС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также путем подключения к линиям связи.
При бесконтактном доступе (например, по электромагнитному каналу) возможные угрозы информации реализуются перехватом излучений аппаратуры АС, в том числе наводимых в токопроводящих коммуникациях и цепях питания, перехватом информации в линиях связи, вводом в линии связи ложной информации, визуальным наблюдением — (фотографированием) устройств отображения информации, прослушиванием переговоров персонала АС и пользователей.
Защита сети от компьютерных атак — это постоянная и нетривиальная задача, но ряд простых средств защиты сможет остановить большинство попыток проникновения в сеть.
Среди таких средств можно выделить следующие:
1. Оперативная установка исправлений (заплаток, патчей) для программ, работающих в Интернете. Часто в прессе и Internet появляются сообщения о нахождении бреши в защите почтовых программ или Web-браузеров, а после этого их разработчики выпускают программы-заплатки. Их необходимо обязательно использовать.
2. Антивирусные программы по обнаружению троянских коней незаменимы для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы.
3. Межсетевые экраны, или брандмауэры (firewalls) — это самое важное средство защиты сети предприятия. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика.
4. Программы-взломщики паролей используются хакерами, чтобы украсть файлы с зашифрованными паролями, а затем, расшифровав их, проникать на компьютер пользователя. Поэтому следует принимать меры для того, чтобы пароли как можно чаще менялись, и их длина была максимальной.
5. Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы.
6. Программы-сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры. Например, сканер Orge (http://hackers.com/files/portscanners/ogre.zip) от компании Rhino9, который помогает взломать собственную сеть и обнаружить незаметные слабые места, о которых забыл ваш администратор.
7. При установке новой операционной системы обычно разрешаются все сетевые средства, что часто совсем небезопасно. Это позволяет хакерам использовать много способов для организации атаки на компьютер. Поэтому нужно максимально использовать встроенную защиту операционной системы и ее утилит.
8. Пользователи часто разрешают своим компьютерам принимать входящие телефонные звонки. Например, пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Хакеры могут использовать программы для обзвона большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки.
3. Методы защиты: экранирование
Межсетевой экран или брандмауэр (firewall) — программная или программно-аппаратная система, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивающая защиту информационной системы посредством фильтрации информации.
Рисунок 1. Межсетевой экран Концепцию межсетевого экранирования можно сформулировать следующим образом. Пусть имеется два множества информационных систем.
Межсетевой экран (МЭ) — это средство разграничения доступа клиентов из одного множества к серверам из другого множества. МЭ выполняет свои функции, контролируя все информационные потоки между двумя множества систем. автоматизированный компьютерный зашита информация В общем случае МЭ (полупроницаемую оболочку) удобно представлять в виде последовательности фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу «перебросить» их «на другую сторону» .
Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю. Помимо своей основной функции — разграничения доступа — МЭ обычно выполняет целый ряд дополнительных функций по защите информации — выявление различного рода атак, трансляцию сетевых адресов, сокрытие внутренней структуры защищаемой сети и др. Как правило, МЭ осуществляют также протоколирование информационных обменов и действий администратора.
Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования (разграничения доступа) имеет двойственный характер.
С одной стороны задача формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet.
С другой стороны, может решаться задача разграничения доступа пользователей из внутренней сети к внешним сетевым ресурсам, то есть экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности. Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование.
В большинстве случаев экранирующая система должна:
— Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;
— Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;
— Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;
— Достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах.
— Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации.
Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче. Межсетевые экраны классифицируются по следующим признакам:
— по месту расположения в сети — на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;
— по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.
Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI. Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты.
Межсетевые экраны разделяют на четыре типа: — межсетевые экраны с фильтрацией пакетов;
— шлюзы сеансового уровня;
— шлюзы прикладного уровня;
— межсетевые экраны экспертного уровня.
Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCPи UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, Telnet и т. д.) и служат для проверки сетевых пакетов на наличие достоверных данных.
Шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Интернет при работе по низкоскоростным каналам, но существенно при работе во внутренней сети.
Межсетевые экраны экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И, наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации. Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации.
Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети и по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов.
Наиболее комплексно задачу экранирования решают межсетевые экраны экспертного уровня, которые сочетают в себе элементы всех типов межсетевых экранов.
Разработчики программных средств предлагают специальные решения защиты для ПК. Это персональные брандмауэры (Personal Firewalls), которые так просты в пользовании, что их защитой может воспользоваться каждый.
Чаще всего проникновение в компьютер осуществляется через порты, за каждым из которых закреплены программы для выполнения определенных задач. Сами порты необходимы для работы всех сетевых приложений.
Сегодня одних антивирусных программ для защиты уже недостаточно, ведь пока их разработчики включат новый вирус в базу, тот может уже сделать свое черное дело. Здесь помогает такой механизм брандмауэров, как Sandbox (ящик с песком), который позволяет некоторым программам (в том числе загруженным из Интернета) выполнять только разрешенные пользователем действия.
Таблица 1
Функции персональных брандмауэров
Брандмауэр | Основные функции | |
BlacklCE Agent | подробные сведения о попытках несанкционированного доступа к ПК или сети (об отдельных нападениях, данные о взломщиках, диаграмма сетевого трафика и распределения нападений во времени); блокирование поступающей информации в чрезвычайной ситуации | |
eSafe Desktop | функции фильтрации поступающей информации; блокирование вирусов (троянских коней) и портов; отслеживание действия прикладной программы | |
McAfee Internet Guard Dog | разнообразные функции обеспечения секретности и безопасности; функции фильтрации текста чатов и контента: антивирусная защита | |
McAfee.com Personal Firewall | функции обеспечения секретности и безопасности от атак хакеров | |
Norton Internet Security | блокирование троянских коней, наиболее опасных приложений, всю информацию до особого указания; фильтрации контента; антивирусная зашита | |
ZoneAlarm | блокирование передачи данных и атак; фильтрация контента; криптографическая подпись приложений | |
4. Межсетевой экран McAfee Personal
Персональный файрволл, обеспечивающий всестороннюю защиту персонального компьютера во время пребывания в сети Интернет. Cразу после установки, позволяет обнаружить основные сетевые атаки и другую подозрительную активность с возможностью блокировать дальнейшее взаимодействие с атакующим.
Позволяет проводить сканирование ПК на предмет наличия программ, имеющих возможность выходить в Интернет, с целью создания разрешающих или запрещающих правил и минимизации числа последующих предупреждений. Простой в использовании, одновременно высоконадежный McAfee Firewall обеспечивает защиту Интернет-соединения при работе через любые линии связи (модем, кабельные и спутниковые сети, ASDL и т. д.), а также Internet Connection Sharing (ICS) и Network Address Translation (NAT).
McAfee Firewall — это мощный инструмент, необходимый для контроля входящих и исходящих соединений. Больше чем просто экран… Traffic Inspector — комплексное решение для защиты сети, контроля и учета трафика под Windows. Надежный сетевой экран, простая настройка, firewall закрывает сервер по всем протоколам. Политики доступа: ограничение по расписанию, контенту…
McAfee Personal Firewall Plus представляет из себя персональный межсетевой экран с широкими возможностями. В программе используется технология Sandbox, позволяющая организовать эффективную защиту рабочей станции обеспечивая контроль несанкционированного доступа и модификации реестра, запуска и остановки сервисов и использования файловой системы.
Благодаря новым функциям брандмауэр McAfee Personal Firewall Plus стал более полнофункциональным и менее назойливым. Он непосредственно интегрирован с сайтом HackerWatch.org компании McAfee, на котором содержится подробная информация о конкретных нападениях и предупреждения о вспышках вирусов, а также мировая карта активности хакеров. Функция Advanced Worm Protection блокирует распространение червей, а Smart Recommendations автоматически настраивает конфигурацию более 700 известных программ, сокращая число перерывов в работе пользователя. McAfee Personal Firewall Plus прост в инсталляции, а число красных всплывающих окон с предупреждениями уменьшается по мере того, как брандмауэру становятся известны программы, которым разрешен доступ в Интернет.
Личный межсетевой экран служит в качестве защитного барьера между Интернетом и компьютером, позволяя вам контролировать входящие и исходящие потоки. Функциональность личного межсетевого экрана разработана таким образом, чтобы отслеживать наличие подозрительной активности в интернет-трафике и обеспечивать эффективную защиту, не мешая работе пользователя.
Personal Firewall позволяет выбрать тип уведомлений о разрешении или блокировке программ, которым нужен доступ к Интернету. Также Personal Firewall позволяет управлять способами обработки компьютером действий программ, пытающихся подключиться к Интернету при загрузке, взаимодействия с другими компьютерами, обработки попыток вторжений злоумышленников и даже подготовки отчетов об уязвимостях системы безопасности.
Personal Firewall позволяет управлять действиями программ, которые могут нанести вред системе безопасности компьютера. Можно управлять способами обработки компьютером попыток вторжений злоумышленников, блокировки опасных подключений и даже подготовки отчетов об уязвимостях системы безопасности. Некоторым программам на компьютере необходимо создавать входящие и исходящие подключения к Интернету. Пользователь может выбрать тип подключения для имеющихся программ, а затем блокировать их связь с потенциально опасными сайтами. Пользователь может мгновенно заблокировать доступ в Интернет, выбрав тип безопасности «Изоляция». Личный межсетевой экран можно настроить для управления конкретными удаленными подключениями к компьютеру. Чтобы функционировать должным образом, определенные программы (в том числе веб-серверы и серверные программы для обмена файлами) вынуждены принимать не запрошенные соединения от других компьютеров через назначенные порты системных служб. Как правило, личный межсетевой экран закрывает эти порты системных служб, поскольку они повышают уязвимость компьютера к атакам. Чтобы принять подключения удаленных компьютеров, порты системных служб должны быть открыты. Порты системных служб можно настроить, чтобы разрешить или заблокировать удаленный доступ к службе на компьютере пользователя. Эти порты можно открывать или закрывать для компьютеров, перечисленных в списке Подключения как надежные, рабочие или открытые.
Личный межсетевой экран позволяет включить и отключить ведение журнала событий. Если оно включено, пользователь может также указать, какие типы событий следует регистрировать в журнале. Ведение журнала событий позволяет просматривать последние входящие и исходящие события, а также события вторжения.
Личный межсетевой экран регистрирует событие каждый раз, когда блокируется попытка подключения к Интернету. Для предоставления самой последней информации о программах и глобальной интернет-активности личный межсетевой экран использует веб-сайт безопасности HackerWatch. HackerWatch связан с McAfee и интегрирован с личным межсетевым экраном, позволяя отдельным пользователям объединять информацию посредством автоматической отправки сведений о событиях. Это помогает предотвращать попытки взлома, вторжений и проникновения нежелательного трафика. Благодаря сочетанию этих данных автоматизированные средства проверяют наличие компьютеров с нарушениями, выявляемых по интернет-трафику, источником которого они являются. Если обнаруживается компьютер с нарушениями, его поставщику услуг Интернета отправляется уведомление с просьбой об ограничении доступа. Для предоставления самой последней информации о программах и глобальной интернет-активности личный межсетевой экран использует HackerWatch, веб-сайт безопасности McAfee. HackerWatch также предоставляет учебное пособие по личному межсетевому экрану в формате HTML.
Список функций межсетевого экрана Personal Firewall компании McAfee:
Он может запрашивать введение пароля для изменения установок экрана и обеспечивать различные уровни защиты для различных интерфейсов.
Personal Firewall: может выполнять фильтрацию как исходящего, так и входящего трафика. Без такой фильтрации нельзя эффективно защититься от программ-шпионов и «троянских коней», которые, незаметно проникнув на компьютер, пытаются сообщить внедрившей их стороне сведения о его конфигурации, такие, как учетные записи, пароли, и информацию об использовании Web.
Как правило, программы-шпионы не наносят системе вреда, но они часто раскрывают информацию о последних загрузках программ, посещаемых сайтах Web и перечне средств, установленных на данном ПК. Антивирусные комплексы не регистрируют эти программы, поскольку они не считаются вредоносными. Для борьбы с такими шпионскими модулями я бы рекомендовала такие утилиты, как Ad-Aware и Spyware-Cop."Троянские кони" могут пересылать пароли и некоторые файлы. Например, один из «троянских коней», BackDoor, позволяет преступнику взять ПК под свой полный контроль. Способность Personal Firewall отфильтровывать оправдывает свое название: реализовать его можно другим способом и совершенно бесплатно — просто отключившись от Internet. С другой стороны, Allow Everything означает, что защита попросту отсутствует. Таким образом, рассмотрения заслуживает только ружим Filter Traffic, поскольку он предоставляет возможность решать, пропускать или нет трафик для тех или иных портов и тех или иных протоколов.
Исходящий трафик лишает программ-шпионов и «троянских коней» возможности связываться с пославшими их злоумышленниками, однако для этого необходимо задать несколько неочевидных правил фильтрации.
Personal Firewall предлагает три готовых набора правил обеспечения безопасности: Block Everything (полная блокировка), Filter Traffic (фильтрация трафика) и Allow verything (отсутствие блокировки). Режим
Web и перечне средств, установленных на данном ПК. Антивирусные комплексы не регистрируют эти программы, поскольку они не считаются вредоносными. Для борьбы с такими шпионскими модулями я бы рекомендовала такие утилиты, как Ad-Aware и Spyware-Cop."Троянские кони" могут пересылать пароли и некоторые файлы. Например, один из «троянских коней», BackDoor, позволяет Block Everything полностью verything (отсутствие блокировки).
Заключение
Зависимость предприятий от компьютерных и сетевых коммуникаций неуклонно возрастает. Этот факт в значительной степени увеличивает их уязвимость с точки зрения нарушения информационной защиты. Последствия вторжения в информационные системы предприятия различны: наносят материальный ущерб, снижают престиж предприятия, приводят к прекращению его работоспособности. Кроме того, важно помнить, что многие виды информации сами по себе должны находиться под защитой закона. Это могут быть персональные данные клиентов, которые не хотят, чтобы их личная информация выходила за пределы компании, финансовая информация, номера кредитных карт, банковских счетов и т. п.
Пути проникновения вирусов в информационную инфраструктуру предприятия различны и зависят от типа вируса, политики безопасности предприятия и ряда внешних факторов.
Сетевые черви распространяют свои копии по локальным и глобальным сетям связи через электронную почту, программы типа icq, через файлообменные, локальные и беспроводные сети. Получить их можно в виде вложения в электронном письме, ссылки на заражённый файл, в мгновенных сообщениях. Цель подобных программ — захват удаленного компьютера и распространение на нем.
Классические компьютерные вирусы, копирующиеся на локальный диск и реагирующие на определенное действие пользователя, не используют сетевых сервисов для проникновения на другие компьютеры. Вирус передаётся через общие для разных компьютеров ресурсы — данные на дисках, дискетах, флэшках, через общие ресурсы сети, через электронные письма с заражёнными файлами.
Троянские программы под видом «полезного приложения» осуществляют несанкционированный захват и передачу данных их создателю. Они также распространяются через электронную почту. Кроме того, в значительной степени затрудняют работу компьютера хакерские утилиты и прочие вредоносные программы — конструкторы вирусов, червей и троянов, хакерские утилиты скрытия кода от антивируса, программы-спамеры, рекламные агенты, программы-шпионы и многие другие.
Как бы ни хороша была антивирусная программа, без дополнительных мер она «одинокий воин в поле». Чтобы защита была действительно эффективной, необходимо всегда знать, откуда может прийти вирус, как с ним бороться или, по крайней мере, как его задержать, и как устранить последствия с минимумом потерь для предприятия. Все эти меры можно реализовать при наличии трех грамотно построенных и взаимодействующих систем:
— нормативно-методическая: работает над созданием правовой базы предприятия в области защиты от вирусных угроз (политика безопасности, инструкции, регламенты, требования, должностные инструкции);
— кадровая. Предприятие должно заботиться о том, чтобы работники представляли как теоретические, так и практические аспекты антивирусной защиты. Если, не представляют — нужно научить.
— технологическая. К технике требования должны быть высокие: помимо вирусов, нужно защищаться от спама, обеспечивать обнаружение и предотвращение атак, выявление уязвимостей, сетевое экранирование, резервное копирование и подсистему управления.
Можно выделить ряд основных объектов, которые необходимо защищать от вирусов. В первую очередь это рабочие станции, различные серверы (Web-приложений, файловые серверы, серверы документооборота и т. д.), интернет-шлюзы, почтовые серверы. Качественная и бесперебойная работа предприятия зависит от уровня защищенности каждого из этих объектов. Специфика их защиты имеет свои особенности.
Важным аспектом информационной безопасности предприятия является централизованная защита рабочих станций в корпоративной сети и за ее пределами от интернет-угроз: вирусов, шпионских программ, хакерских атак и спама. Контроль всех входящих и исходящих потоков данных на компьютере (электронная почта, интернет-трафик и сетевые взаимодействия) гарантирует безопасность пользователя, где бы он ни находился — в офисе, у клиента или в командировке. Для этого оптимальным решением являются различные антивирусные и антиспамовые программы в сочетании с межсетевым экранированием. Обязательными свойствами этих программ должны быть централизованное управление, защита и отслеживание атак в реальном времени, регистрация и протоколирование всех системных событий и сетевой активности, включая информацию об исполнителе, аутентификация и идентификация пользователей (желательно гарантированная), разграничение доступа к ресурсам рабочей станции.
Единой стратегии защиты, пригодной для всех компаний сразу, нет и быть не может. У каждого предприятия бизнес устроен по-своему, а следовательно и риски свои — специфические. Значение имеет уровень информатизации компании. Чем больше в бизнес-процессах используются информационные технологии, тем больше их уязвимость.
Для крупных компаний, как правило, строится стратегия защиты предполагающая активные действия ИТ-персонала, т. е. необходимо ее сопровождение силами квалифицированных специалистов.
Для малого и среднего бизнеса такой подход, к сожалению, неприменим. Дело в том, что в компаниях небольшого масштаба обычно нет выделенных ИТ-специалистов. Поэтому основными чертами антивирусной защиты в данном случае являются по возможности нулевое администрирование, универсальность внедряемого программного продукта, который защищает сразу все основные точки проникновения вредоносного кода и автоматизация всех этапов работы системы.
При построении комплексного подхода защиты от вирусов удается:
— соблюсти требования федеральных законов и нормативно-правовых актов РФ в сфере информационной безопасности;
— обеспечить достаточный уровень защищенности всех узлов сетевой инфраструктуры предприятия от нежелательного проникновения вредоносных программ;
— гарантировать конфиденциальность, доступность и целостность информационных ресурсов предприятия;
— минимизировать риск нежелательных воздействий вредоносных программ, объем наносимого ущерба и время устранения последствий;
— обеспечить бесперебойную работу предприятия.
Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т. е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.
1. Титоренко Г. А. Информационные технологии управления. М., Юнити: 2002 г.
2. Мельников В. Защита информации в компьютерных системах. — М.: Финансы и статистика, Электронинформ, 1997 г.
3. Интернет
4. Пушкарев В. П., Пушкарев В. В. Защита информационных процессов в компьютерных системах, Томск 2005 г.