Противовоздушный «Панцирь» для российской армии. Эшелонированная система ПВО

Принцип эшелонированной обороны получает все более широкое распространение среди специалистов по безопасности. Однако, его практическая реализация часто неверна. Стратегия обороны не должна ограничиваться лишь нагромождением многочисленных контрольных проверок и технологий защиты. Сущность эшелонированной обороны - в продуманном расположении средств защиты. Для успешной организации эшелонированной обороны необходимо провести хороший анализ угрозы, в ходе которого необходимо определить:

• ресурсы и значение этих ресурсов;
• опасности, которым подвергаются ресурсы, и вероятность каждой угрозы;
• векторы угрозы, которые могут быть использованы для атаки на предприятие.

Концепция эшелонированной обороны существует тысячи лет, поэтому я приведу часто используемый пример средневекового замка, чтобы показать, что свойственно, и что несвойственно эшелонированной обороне. Для ясности изложения, упростим задачу и рассмотрим только один из векторов угрозы, против которого необходимо защитить замок: прямая атака через главные ворота. Замок располагает многочисленными средствами защиты против этого вектора угрозы. Если оборона правильно организована, взломщикам придется преодолеть каждый рубеж, прежде чем им удастся по-настоящему угрожать людским, военным, политическим или материальным ресурсам замка.

Во-первых, нападающие должны уклониться от града стрел на подходе к замку. Затем, если подвесной мост поднят, нападающие должны преодолеть ров и проникнуть в ворота, закрытые поднятым мостом. После этого нападающие должны пройти по узкому проходу, образованному стенами и попытаться пройти сквозь внутренние ворота под ударами защитников замка.

Этот сценарий - хороший пример многоуровневой обороны, организованной против одного вектора угрозы. Однако, простое наличие средств защиты не означает, что предприятие располагает действительно эшелонированной обороной против конкретных угроз. Например, еще один вектор угрозы против замка - подрыв стен. От этой опасности защищает ров, но как быть, если осаждающим удастся осушить его? Оборону замка вряд ли можно назвать эшелонированной, если нет дополнительных средств, например, глубоко уходящего в землю фундамента или готового запаса кипящей смолы, которую можно в любой момень вылить на противника со стен.

В мире ИТ не существует единого непреодолимого средства защиты, и ни одна стратегия информационной безопасности не будет полной без эшелонированной стратегии. Непросто реализовать эту стратегию в корпорации, которой необходимо защитить свои информационные ресурсы. Преимущество замков заключалось в наличии единственной точки входа, а в производственных сетях компаний существует множество входов (в частности, соединения с поставщиками, провайдерами услуг и потребителями), что делает оборону более пористой. Кроме того, в настоящее время число векторов угроз гораздо больше, чем несколько лет назад. В начале 1990-х безопасность сети сводилась, в сущности, к защите от атак на уровне пакетов, а брандмауэры были маршрутизаторами с дополнительными возможностями. Сегодня угрозы для внутренних ресурсов исходят от переполнений буфера, SQL-подмен, вредных Web-страниц, почтовых сообщений с активным контентом, беспроводных соединений, поддельных URL и многих других типов атаки.

В столь динамичной, сложной среде взломщик может обойти любое препятствие при наличии благоприятных обстоятельств. Рассмотрим, например, антивирусные программы. Новый вектор атаки может обойти классические проверки, также как программы IM обходят проверки со стороны антивирусных утилит. К сети предприятия может быть подключен единственный компьютер без обязательной антивирусной программы. Важное обновление вирусных сигнатур может выйти с опозданием или не будет применено в филиале. Антивирусный механизм может пропустить вирус, или произойдет сбой антивирусной программы из-за некорректного исправления. Все эти события случаются в действительности.

Стратегия исчерпывающей эшелонированной обороны

В современных условиях важнее, чем когда-либо в прошлом, применить несколько средств против каждой угрозы. На примере антивирусной программы можно рассмотреть, как использовать комбинированные приемы для формирования исчерпывающей эшелонированной обороны против вирусов и других вредных программ.

Начальный уровень представлен антивирусной программой, направленной против самых распространенных векторов (или входов) угрозы, к которым относятся электронная почта, Web и IM. Антивирусную технологию следует установить на шлюзовых серверах SMTP, которые обрабатывают входящий почтовый поток, и развернуть антивирусное программное обеспечение на брандмауэрах и входных устройствах, которые перехватывают данные, пересылаемые при перемещениях по Web и загрузке файлов. Средства безопасности IM менее зрелые, чем решения для электронной почты и Web. Кроме того, проблема усложняется из-за широкого распространения IM-служб и способности IM-клиентов обходить защитные меры шлюзов. Тем не менее, существуют решения, с помощью которых можно направить внутренние и внешние IM-сообщения через единый канал с антивирусным фильтром и другими функциями безопасности.

Но электронная почта, Web и IM - не единственные векторы распространения вредных программ. Например, ими могут быть сменные носители, в частности, гибкие диски, компакт диски, устройства USB и флэш-памяти. Пользователь может принести ноутбук в Internet-кафе, подключиться к Wi-Fi-сети, подвергнуться нападению, а затем вернуться с компьютером в офис и установить соединение с сетью предприятия, обойдя периметрическую защиту. Это лишь немногие из возможных путей распространения опасных программ. Невозможно блокировать все маршруты проникновения с помощью специализированных средств. В конечном итоге, в каждой организации появляются защищенные векторы и открытые векторы без превентивных мер.

Что происходит, если вредная программа обходит периметрическую защиту через незащищенный вектор, или специализированное средство безопасности оказывается неэффективным? Дальнейшее развитие событий зависит от наличия эшелонированной обороны. В средние века главной заботой защитников замка была круговая оборона от атаки по окружающей местности. Оборонительные укрепления начинались на дальних подходах к замку, и становились все более мощными по мере приближения к центру замка. Наиболее защищенной была главная башня, которая представляла собой замок в замке. Если изобразить оборонительные рубежи в виде концентрических кругов вокруг защищаемого объекта, то становится очевидной причина выбора данного подхода. Чем дальше от объекта, тем больше длина окружности и тем больше ресурсов требуется для организации круговой обороны.

Различные методы защиты от вирусов, рассмотренные выше, обеспечивают широту, но не глубину обороны. Например, зараженный файл проходит проверку не более, чем одним из антивирусных инструментом, в зависимости от вектора, из которого появился файл. Несмотря на важность ширины, нельзя надеяться блокировать любую опасность на физическом или логическом периметре сети. Поэтому блокируются самые простые или часто используемые векторы заражения, а затем формируется более глубокое кольцо обороны.

Второй уровень обороны может представлять собой комбинацию средств обнаружения, лечения и дополнительной профилактики. Пример средств обнаружения - сканирование файлов в процессе приема. Во многих антивирусных продуктах файлы проверяются прежде, чем их смогут открыть приложения. Антивирусное решение, которое отправляет в карантин или восстанавливает файлы, одновременно выполняет и функцию лечения. Если сканирование файлов в процессе приема приводит к заметному падению быстродействия пользовательских систем или процессоров, то можно регулярно сканировать тома серверов и рабочих станций, и другие хранилища файлов в периоды малой рабочей нагрузки.

Разнообразные другие средства обнаружения могут быть как сложными, так и простыми, но эффективными. К сложным относятся системы обнаружения и предотвращения несанкционированного доступа, которые контролируют трафик в сетях, отыскивая вирусы и "червей". Однако, в этих дорогостоящих системах используется база данных известных атак, которая нуждается в постоянном обновлении. Кроме того, при анализе пакетов существует проблема потерянных пакетов и некорректного восстановления потоков данных. Среди простых решений - организация папок-приманок, в которых содержатся легко доступные для модификации файлы. Затем специальные процессы обнаруживают изменения в файлах. Файлы представляют собой лишь наживку, и любая попытка изменить их может рассматриваться как свидетельство деятельности вредной программы.

Можно реализовать другой уровень превентивного контроля, разместив брандмауэры на хост-машинах, максимально ужесточив порядок изменения файлов и исключив или ограничив доступ к разделяемым папкам. В результате всех этих мер вирусам и "червям" труднее обнаруживать еще незараженные файлы и системы.

Оценка надежности защиты

Эшелонированная оборона - эффективный способ борьбы с многовекторными постоянно меняющимися опасностями в современной информационной среде. Защита должна быть не только широкой, но и глубокой. Не следует ограничиваться лишь физической зоной обороны, рассматривая только физическую сеть и границы систем. В отличие от архитектора замка, которому требовалось защитить единственную точку входа, администратору ИТ приходится иметь дело со множеством точек в виде отдельных компьютеров, приложений, хранилищ данных и процессов. Оборона будет действительно эшелонированной, если для каждого ресурса существует более одного средства защиты от конкретной угрозы.

Эрик Байрс для InTech

Любой метод обеспечения информационной безопасности сам по себе недостаточен

• Постоянно возникают новые угрозы информационной безопасности
• Надежда на единое решение по информационной безопасности оборачивается большой уязвимостью
• Эшелонированная оборона повышает защищенность

Последние два года тревожные звонки в отрасли промышленной автоматизации звучат практически непрерывно. Впервые она стала целью изощренных кибератак, проводимых с помощью таких инструментов как Stuxnet, Night Dragon и Duqu.

Самой опасной угрозой после эпохи Stuxnet стало зловредное ПО известное как Shamoon. Как и в случаях со Stuxnet, Duqu и Flame, оно было нацелено на организации на Ближнем Востоке, такие как Saudi Aramco (Саудовская Аравия), RasGas (Катар), а также другие нефтегазовые концерны региона. Однако это было что-то новое - поскольку новое зловредное ПО не нарушало ход технологических процессов, подобно Stuxnet, и не похищало информацию, подобно Flame или Duqu.

Вместо этого, оно удалило и переписало заново информацию на десятках тысяч жестких дисков (было затронуто от 30 000 до 55 000 рабочих станций, да-да, эти числа верны!) по всей компании Saudi Aramco (и, можно только предполагать, сколько еще в других компаниях). Судя по всему, атака была осуществлена неким обозленным сотрудником, действовавшим изнутри корпоративного файрвола.

Shamoon и другие учат нас одному и тому же - надежда на одно единственное решение для защиты (такое как файрвол) означает, что вся система оказывается зависима от одной единственной уязвимой точки. Рано или поздно, вне зависимости от того, насколько хорошо это единственное защитное решение, либо предприимчивые недоброжелатели, либо очередное орудие Законов Мерфи прорвут защиту. И вся система окажется открытой для атак. Намного более эффективной стратегией защиты является т.н. «эшелонированная оборона» (англ.: defense in depth)

Возвращаемся к основам

Эшелонированная оборона не является чем-то уникальным для ИТ- или SCADA-систем. В сущности, она даже не уникальна для информационной безопасности. Это военная стратегия, известная со времен Древнего Рима. Поищите в сети Интернет и вы найдете следующее определение (Википедия):

Эшелонированная оборона это военная стратегия; ее целью является не столько предотвращение продвижения неприятеля, сколько его замедление. При этом защищающаяся сторона, медленно уступая территорию, выигрывает время, а также, наносит дополнительный ущерб атакующей стороне. Вместо того, чтобы стараться нанести атакующей стороне поражение с помощью единого и сильного защитного рубежа, эшелонированная оборона ослабляет наступательный порыв по мере его распространения на все большей территории.

Эшелонированная оборона на примере банковской отрасли

Если вам нужно обеспечить безопасность системы управления, вышеупомянутое определение, к сожалению, не сильно поможет. Давайте посмотрим на то, как обеспечивается безопасность в банках, и выясним, можно ли из их опыта взять для себя что-то полезное.

Никогда не задавали себе вопрос: почему типичный банк намного более безопасен, чем жилой дом или магазин? Это не из-за стальных дверей или вооруженной охраны. Сами по себе они конечно помогают, однако их ценность во многом нивелируется тем фактом, что грабители банков также намного лучше вооружены и настроены более решительно, по сравнению, скажем, с типичными грабителями.

Банк использует многочисленные меры безопасности для того, чтобы достичь ее максимального уровня. Например, в типичном банке есть стальные двери, пуленепробиваемые окна, охрана, сейфы размером с комнату, охранные сигнализации, камеры видеонаблюдения, кассиры, прошедшие соответствующее обучение. И наиболее важным является даже не то, что в банке много мер безопасности, а то, что каждая из них создана для борьбы с определенным видом угроз.

Например, банковские двери - эффективные, но простые устройства безопасности. Они или открыты, или закрыты. Они или предоставляют или предотвращают доступ клиентов, по принципу: все или ничего - вне зависимости от того, как посетитель выглядит или ведет себя.

На один уровень выше находится охрана. Охранники осуществляют контроль для «очистки» потока посетителей. Они гарантируют, что в банк войдут посетители с объективной необходимостью находится в нем, и которые будут вести себя в рамках общепринятых норм. Каждый посетитель оценивается по ряду критериев: носит или не носит он маску, подозрительно ли его поведение и т.д.

На следующем уровне - кассиры, пароли и т.д., которые не позволяют уже допущенным в банк клиентам получить доступ к чужим счетам. Кассиров не заботит, должен или не должен быть данный клиент в банке. Они определяют, имеет ли он право доступа к конкретному счету.

Уровни: много и разные

Банковская аналогия указывает на три важных аспекта «эшелонированной обороны»:

• Многочисленные уровни защиты. Нельзя полагаться только на единственный инструмент защиты, как бы хорош он ни был.
• Дифференцированные уровни защиты. Убедитесь в том, что каждый уровень защиты отличается от других. Это гарантирует, что даже если злоумышленник пройдет первый уровень, его способ не станет «волшебным ключом» к остальным уровням защиты.
• Адаптированность к конкретным контексту и угрозам. Каждый из уровней защиты должен быть разработан так, чтобы соответствовать определенному контексту и угрозе.

Последний момент, возможно, наименее очевиден, но, наиболее важен. Возвращаясь к примеру с банком: обратите внимание - там не просто расставляют дополнительную охрану на каждом уровне. В банковской отрасли понимают: угрозы могут быть очень разными - от отчаявшегося наркомана, размахивающего пистолетом, до изощренного мошенника. Поэтому в банках каждый уровень защиты адаптирован к конкретным угрозам.

Адаптация к угрозе

Каким образом все это касается проблемы безопасности на производстве? Как и банк, ИТ- и SCADA-системы могут быть подвержены различным угрозам безопасности: от разозленных сотрудников до зловредного ПО, DoS-атак и хищения информации. Необходимо учитывать все эти угрозы и защищаться от всех.

К примеру, пограничный файрвол можно сравнить с охранником. Сетевые сообщения, использующие определенные протоколы, либо пропускаются, либо не пропускаются в сеть управления. Идеальный вариант для защиты от таких атак, как обычные «черви» или неспециализированные DoS-атаки.

Более совершенные файрволы, предназначенные для работы со SCADA-системами, анализируют трафик, даже если он не принадлежит к основным сетевым протоколам. Это позволяет осуществлять защиту на основе поведения и контекста систем, использующих эти протоколы в системе управления. Например, если операторская рабочая станция неожиданно начинает попытки запрограммировать ПЛК, скорее всего, это действует червь вроде Stuxnet или обозленный сотрудник. Такие атаки должны немедленно предотвращаться и подниматься тревога, для предотвращения серьезного риска системе.

Наконец, серверы и контроллеры, с надлежащими настройками безопасности, могут действовать аналогично хорошо вышколенному кассиру. После успешного подсоединения пользователя к серверу или контроллеру, приложение безопасности гарантирует, что пользователь получает доступ только к тем приложениям и данным, для которых он авторизован. Попытки получить доступ к другим сервисам и данным должны блокироваться и регистрироваться.

Как в примере со стальными дверями, охранниками и кассирами, файрвол периметра, обеспечивающий защиту границы, файрвол ИТ- и SCADA-систем, обеспечивающий внутреннюю безопасность, а также сервер, обеспечивающий безопасность на уровне приложений, формируют эффективную команду. Например, файрвол может блокировать миллионы зловредных сообщений, направленных в систему управления в рамках DoS-атаки. В то же время, глубокая инспекция пакетов (англ.: Deep Packet Inspection или DPI) и проверка авторизации пользователей не позволят червю или пользователю внутри файрвола вносить изменения, которые могут подвергнуть риску имущество или жизни.

Обеспечиваем надежную безопасность на производстве

Зависимость от единственного решения обеспечения информационной безопасности, такого как файрвол периметра, означает, что ваша защита может быть прорвана одним ударом. Необходимо разрабатывать и внедрять системы эшелонированной защиты, в которых сеть, устройства управления, различные системы защищены - защищены все. Именно это позволит обеспечить информационную безопасность должного уровня на производстве.

Эрик Байрс (Eric Byres) ([email protected]), технический директор и вице-президент по производству Tofino Security (часть группы Hirschmann, бренд Belden), является признанным отраслевым экспертом в области информационной безопасности промышленных систем. Он возглавляет рабочую группу по технологиям безопасности в ISA99, а также, рабочую группу по анализу информационных угроз в ISA99. Вклад Эрика в развитие отрасли промышленной автоматизации, выдающиеся достижения в науке и технике, получили признание Международного Общества Автоматизации (International Society of Automation, ISA), присвоившего ему звание «Почетного члена ISA».

1. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

1.1 Актуальность

1.2 Цель

1.3 Задачи

2. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

2.1 Эшелонированная защита

2.2 Составляющие эшелонированной системы защиты информации

2.2.1 Антивирусные программы

2.2.2 Протоколирование и аудит

2.2.3 Физическая защита

2.2.4 Аутентификация и парольная защита

2.2.5 Межсетевые экраны

2.2.6 Демилитаризованная зона

2.2.7 VPN

2.2.8 Система обнаружения вторжений

3. ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

СПИСОК ИСПОЛЬЗОВАННЫХ ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ

эшелонированный защита информация антивирусный

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ.

Изучение эшелонированной системы защиты информации в компьютерных системах «офисного» типа актуально в связи с постоянным ростом количества атак на сети крупных организаций с целью, например, копирования баз данных, содержащих конфиденциальную информацию. Такая система защиты является очень мощным средством против злоумышленников и может эффективно сдерживать их попытки несанкционированного доступа (НСД) к защищаемой системе.

1.2 Цель

Целью данной работы является изучение эшелонированной системы защиты компьютерных систем «офисного» типа.

1.3 Задачи

Для достижения поставленной цели необходимо решить следующие задачи:

Изучить принципы построения и работы эшелонированной системы безопасности;

Изучить независимые системы защиты, включаемые в эшелонированную систему защиты информации;

Определить требования, предъявляемые к системам защиты;

2. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

2.1 Эшелонированная защита

Эшелонированная защита (англ. Defense in Depth) - концепция страхования информации, в которой несколько различных слоёв систем защиты установлены по всей компьютерной системе. Его предназначение - предоставлять избыточную защищенность компьютерной системы в случае неисправности системы контроля безопасности или при использовании злоумышленником некой уязвимости.

Идея эшелонированной защиты состоит в защите системы от любой атаки, используя, как правило, последовательно, ряд независимых методов.

Изначально эшелонированная защита являлась сугубо военной стратегией, позволяющей скорее не упредить и предотвратить, а отложить атаку противника, купить немного времени для того, чтобы правильно расположить различные меры защиты. Для более полного понимания можно привести пример: колючая проволока эффективно сдерживает пехоту, но танки легко переезжают её. Однако по противотанковым ежам танк проехать не может, в отличие от пехоты, которая их просто обходит. Но если их использовать вместе, то ни танки, ни пехота быстро пройти не смогут, и у защищающейся стороны будет время на подготовку.

Эшелонированная защита

Эшелонированная защита (англ. Defense in Depth) - концепция страхования информации, в которой несколько различных слоёв систем защиты установлены по всей компьютерной системе. Его предназначение - предоставлять избыточную защищенность компьютерной системы в случае неисправности системы контроля безопасности или при использовании злоумышленником некой уязвимости.

Идея эшелонированной защиты состоит в защите системы от любой атаки, используя, как правило, последовательно, ряд независимых методов.

Изначально эшелонированная защита являлась сугубо военной стратегией, позволяющей скорее не упредить и предотвратить, а отложить атаку противника, купить немного времени для того, чтобы правильно расположить различные меры защиты. Для более полного понимания можно привести пример: колючая проволока эффективно сдерживает пехоту, но танки легко переезжают её. Однако по противотанковым ежам танк проехать не может, в отличие от пехоты, которая их просто обходит. Но если их использовать вместе, то ни танки, ни пехота быстро пройти не смогут, и у защищающейся стороны будет время на подготовку.

Размещение механизмов защиты, процедур и политик призвано повысить защищенность компьютерной системы, где несколько уровней защиты могут предотвратить шпионаж и прямые атаки на критически важные системы. С точки зрения компьютерных сетей, эшелонированная защита предназначена не только для предотвращения НСД, но и для предоставления времени, за которое можно обнаружить атаку и отреагировать на неё, тем самым снижая последствия нарушения.

В компьютерной системе «офисного» типа может обрабатываться информация с различными уровнями доступа - от свободной, до информации, составляющей государственную тайну. Именно поэтому, для предотвращения НСД и различных видов атак, в такой системе требуется наличие эффективной системы защиты информации.

Далее будут рассмотрены основные слои защиты (эшелоны), используемые в эшелонированных системах защиты. Следует учесть, что система защиты, состоящая из двух и более приведенных ниже систем, считается эшелонированной.

Составляющие эшелонированной системы защиты информации

Антивирусные программы

Антивирусная программа (антивирус) -- специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики -- предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Относится к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.

Классифицировать антивирусные продукты можно сразу по нескольким признакам:

По используемым технологиям антивирусной защиты:

Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования);

Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);

Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные).

По функционалу продуктов:

Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)

Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции);

По целевым платформам:

Антивирусные продукты для ОС семейства Windows;

Антивирусные продукты для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux и др.);

Антивирусные продукты для ОС семейства MacOS;

Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.).

Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:

Антивирусные продукты для защиты рабочих станций;

Антивирусные продукты для защиты файловых и терминальных серверов;

Антивирусные продукты для защиты почтовых и Интернет-шлюзов;

Антивирусные продукты для защиты серверов виртуализации.

Требования к средствам антивирусной защиты включают общие требования к средствам антивирусной защиты и требования к функциям безопасности средств антивирусной защиты.

Для дифференциации требований к функциям безопасности средств антивирусной защиты установлено шесть классов защиты средств антивирусной защиты. Самый низкий класс - шестой, самый высокий - первый.

Средства антивирусной защиты, соответствующие 6 классу защиты, применяются в информационных системах персональных данных 3 и 4 классов.

Средства антивирусной защиты, соответствующие 5 классу защиты, применяются в информационных системах персональных данных 2 класса.

Средства антивирусной защиты, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в информационных системах персональных данных 1 класса, а также в информационных системах общего пользования II класса.

Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Также выделяются следующие типы средств антивирусной защиты:

тип «А» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);

тип «Б» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;

тип «В» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;

тип «Г» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.

Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».

Цель эшелонированной антивирусной защиты состоит в фильтрации вредоносного ПО на разных уровнях защищаемой системы. Рассмотрим:

Уровень подключения

Корпоративная сеть как минимум состоит из уровня подключения и ядра. На уровне подключения у многих организаций установлены средства межсетевого экранирования, системы обнаружения и предотвращения вторжений (IDS/IPS/IDP) и средства защиты от атак типа отказа в обслуживании. На базе данных решений реализуется первый уровень защиты от проникновения вредоносного ПО. Межсетевые экраны и средства IDS/IPS/IDP «из коробки» обладают встроенным функционалом инспекции на уровне протокол-агентов. Более того, стандартом де-факто для UTM решений является встроенный антивирус, который проверяет входящий/исходящий трафик. Наличие поточных антивирусов в межсетевых экранах также становится нормой. Подобные опции появляются все чаще в новых версиях хорошо известных всем продуктов. Однако же многие пользователи забывают про встроенные функции сетевого оборудования, но, как правило, их активация не требует дополнительных затрат на покупку опций расширения.

Таким образом, оптимальное применение встроенных функций безопасности сетевого оборудования и активация дополнительных опций антивирусного контроля на межсетевых экранах позволит создать первый уровень эшелонированной защиты.

Уровень защиты приложений

К уровню защиты приложений можно отнести как шлюзовые решения по антивирусной проверке, так и средства безопасности, изначально направленные на решение не антивирусных задач. Подобные решения представлены на рынке и сертифицированы по требованиям ФСТЭК России. Данные продукты не требуют серьезных затрат при внедрении и не привязаны к типам проверяемого контента, а потому могут использоваться в организациях любого масштаба.

Решения, основной функцией которых не является антивирусная проверка, также могут выступать в роли второго уровня фильтрации вредоносного ПО. Примером служат широко распространенные шлюзовые решения по фильтрации спама и защите веб-сервисов -- URL-фильтрации, Web Application Firewall, средства балансировки. Зачастую они обладают возможностью осуществлять антивирусную проверку обрабатываемого контента при помощи нескольких производителей фильтрации вредоносного контента. В частности, реализация антивирусной проверки на уровне почтовых систем или шлюзов фильтрации спама. В случае последовательного применения нескольких антивирусных продуктов эффективность фильтрации вирусов во входящей/исходящей корреспонденции может достигать почти 100%.

С помощью указанного подхода можно уже на первом и втором уровне эшелонированной защиты достичь серьезных показателей по фильтрации вредоносного ПО. Иными словами, при реализации адекватной системы антивирусной защиты (до пользователя) львиная доля вредоносного ПО будет отфильтрована на уровне шлюзовых решений того или иного назначения.

Уровень защиты хоста

Под защитой хостов подразумевается реализация функций антивирусных проверок серверов и рабочих мест пользователей. Поскольку в повседневной работе сотрудники применяют множество стационарных и мобильных устройств, то нужно защищать их все. Более того, простой сигнатурный антивирус уже давно не считается серьезным инструментом защиты. Именно поэтому многие организации перешли на технологии Host IPS, которая позволяет задействовать при проверке дополнительные механизмы контроля/защиты посредством функционала межсетевого экрана, IPS-системы (поведенческий анализ).

Если вопросы защиты рабочих мест пользователей уже хорошо отрегулированы, то реализация Host IPS на прикладных серверах (физических или виртуальных) -- задача специфическая. С одной стороны, технология Host IPS не должна существенно увеличивать загрузку сервера, с другой -- обязана обеспечить требуемый уровень защищенности. Разумный баланс можно найти только при помощи пилотного тестирования решения на конкретном наборе приложений и аппаратной платформе.

Если речь идет о системах выявления нарушений следует помнить одно - системы подачи тревоги сами по себе не предотвращают прееступление. Их задача - доложить вам, что кто-то старается похитить имущество, ценности.

Следует обратить внимание еще на одно обстоятельство: системы подачи сигналов тревоги обнаруживают попытки проникновения на территорю фирмы преступников, но также могут подавать сигналы тревоги и против собственного персонала, которому запрещен доступ в отдельные внутренние структуры (например, сейфы, хранилища, секретные участки и лаборатории и т.п.). Но нет еще технических систем, которые могли бы обнаруживать преступные намерения собственных работников фирмы. Это обстоятельство надо иметь в виду при формировании технических систем защиты.

Техническая система выявления нарушений и преступлений имеет определенные функции в общей системе безопасности объекта хозяйствования. С ее помощью необходимо решать следующие задачи:

а) установление факта возникновения опасной ситуации совершения преступления;

б) одача сигнала тревоги;

в) контроль и мониторинг развития опасной ситуации;

г) активизация реагирования на опасную ситуацию с целью прекращения преступления или нарушения.

Хорошая система подачи сигналов тревоги должна отвечать следующим требованиям:

1. Надежно обнаруживать присутствие человека без разрешения на охраняемом объекте.

2. Надежно обнаруживать проникновение нарушителей и преступников в фирму через технические барьеры охраны.

3. Своевременно приводить в действие системы прекращения нарушений и преступлений.

4. Исключение фальшивой тревоги.

Согласно ПППАОС , все системы подачи тривоги можно условно поделить на три группы:

Внешние системы подачи сигналов тревоги, которые устанавливаются независимо;

Внешние системы подачи сигналов тревоги, которые устанавливаются на изгородях;

Внутренние системы подачи сигналов тревоги.

Коротко охарактеризуем эти системы.

Во внешних системах подачи сигналов тревоги, устанавливаемых независимо, чаще всего используются следующие технические устройства:

Устройства инфракрасного излучения . В этих технических системах используются генераторы и приемники инфракрасного излучения, которые устанавливаются неприметно вне забора. В ясную, сухую погоду горизонтальные инфракрасные лучи дают четкое изображение на значительном расстоянии и фиксируют все факты их пересечение. Во время интенсивного дождя, или тумана, лучи могут ослабляться, или рассеиваться, что снижает их эффективность. Тайное и защищенное установление генераторов и приемников ИК излучения необходимо для того, чтобы они не использовались преступниками для преодоления защиты и умышленного причинения фальшивой тревоги, чтобы спланировать эффективное преодоление преграды. Стоят эти системы дорого.

Микроволновой «забор». Как и в предыдущем случае, используются генераторы и приемники, но микроволнового излучения. При пересечении лучей, изменяются их характеристики, что и фиксирует приемник. Считается, что эта система более надежная, чем системы ИК излучения. Недостатками ее является необходимость поддерживать чистой плоскость между приемником и генератором, а также возможные фальшивые сигналы тревоги, которые вызываются животными, легкими предметами, перемещаемыми ветром, а также искусственно создаваемые преступниками. Монтируется также тайно.

Системы контроля давления на грунт. Очень эффективные системы ночного контроля прохождения человека, или наземных транспортных средств. В грунт монтируются оптико-волокнистые кабели, которые запоняются специальной жидкостью, способной с помощью специальных детекторов фиксировать изменение давления и обнаруживать несанкционированное пересечение барьеров. Система дорогая, но практически не вызывает фальшивой тревога.

Во внешней среде также используются системы подачи сигналов тревоги, которые устанавливаются на изгородях. С реди них можно выделить микрофонные акустические кабели. Микрофоны на кабеле до 300 м монтируются на заборах. Они дают возможность обнаруживать вибрацию и шум, возникающие при попытке преодалеть забор, или его разобрать. Нарушения определяются на основании отклонения сигналов от нормального уровня. Система относительно дешевая.

Широко используются для определенной цели также датчики вибрации . Обычно такие устройства состоят из инерционных или пьезоэлектрических устройств, которые монтируются на заборах и подключаются к общей электрической или электронной сети. Если забор подвергается механическому воздействию, электрическая или электронная сеть размыкается, что фиксируется приборами.

Более усовершенствованной является система применения оптиковолоконных кабелей. Такой кабель монтируется в забор и по нему посылается световой сигнал. При механическом действии на забор, изменяются параметры светового сигнала, что фиксируется и оценивается специальными датчиками. Поскольку имеет высокую чувствительность, возможны ошибочные сигналы.

Также для подачи сигналов тревоги на заборах широко используются датчики электромагнитного поля . Это кабели – проводники, которые монтируются на заборе, или стене, но заизолированы от прямого контакта с ними. Когда в электромагнитное поле попадает посторонний предмет, изменяется его частота. Высокая чувствительность системы требует очистки окружающей среды возле забора от посторонних предметов, чтобы не было ошибочных сигналов.

Расположение технических приборов по периметру территории, или на здании охраняемого объекта, еще не гарантирует 100-процентного контроля доступа, так как каждое здание, или объект имеет шесть плоскостей, оборудование которых техническими приборами очень дорого. Поэтому, кроме технических средств выявления попыток проникнуть на объекты защиты, широкое применение имеют устройства, с помощью которых контролируется присутствие на нем человека или группы людей. Эти технические средства называются объемно-пространственными.

Для этого используют детекторы на пассивном инфракрасном излучении. Это наиболее распространенные приборы, которые дают возможность обнаруживать в помещении наличие или движение физических объектов. В основе их действия лежит способность принимать и фиксировать инфракрасное излучение, которое присуще каждому объекту в разной мере. Ранее использовали датчики, принимающие инфракрасное излучение, которые можно было блокировать, т.е. прикрывать, чем и пользовались преступники. Но в последнее время разработаны датчики, которые подают сигналы на диспетчерские пункты и при попытке блокирования.

С этой же целью используют и микроволновые датчики . Они посылают микроволны в контролируемое пространство, поэтому появление постороннего предмета отражает волны на приемник, который фиксирует изменения в волновом поле.

Для объемно-пространственного контроля также используются ультразвуковые детекторы . Они действуют аналогично микроволновым датчикам, но в диапазоне высокочастотных волн. Ультразвуковые детекторы особенно эффективны для контроля больших помещений, но имеют недостатки: не могут преодолеть стекла, или перегородки, подают фальшивые сигналы, когда близко есть источник ультразвукового излучения (например, от дисковых тормозов авто и т.п.).

Для избежания недостатков отдельных технических средств охраны часто используются приборы, которые называются «технологическими парами». Технологическая пара - это комбинирование двух датчиков в одном корпусе. Чаще всего используется комбинация инфракрасного детектора и микроволнового или ультразвукового датчика. Стоимость таких устройств высокая, но эффективность высока.

4. Организация технических систем контроля доступа к охраняемым объектам

Когда приборы, устройства и датчики фиксируют появление на охраняемом объекте нарушителя, с помощью других технических средств начинается контроль и мониторинг его действий с целью прекращения преступления.

Задачи, которые стоят перед этой группой устройств определяют следующим образом:

1. Постоянно контролировать состояние первичной информации, которая исходит от датчиков, и передавать ее для своевременного реагирования. Эти системы должны надежно питаться энергией и быть максимально трудоспособными.

2. Одновременно с прохождением информации на пункт мониторинга о нарушении и нарушителях, они должны подавать сигналы тревоги: от колокольчика до сирены.

3. Они должны обнаруживать место нарушения, для того, чтобы оператор организовал адекватное противодействие.

4. Они должны отличать нарушителей от тех, кому разрешен доступ на охраняемый объект.

5. Устройства контроля и мониторинга должны быть размещены на территории охраняемого объекта.

Среди технических средств контроля и мониторинга следует прежде всего определить системы контроля доступа. Они необходимы потому, что злоумышленники не ограничивают свою деятельность временем, когда на объекте, нет персонала и действуют приборы выявления несанкционированного пребывания на нем. Бывает и так, что преступник совершает преступление в то время, когда на объекте работает персонал. Поэтому, в организации охраны необходимо последовательно внедрять ключевой принцип стратегии обеспечения безопасности: «на объекте быть тому, кто должен быть ». Это означает, что присутствие работающих лиц, а тем более посторонних лиц в критических местах, с точки зрения безопасности, должно жестко контролироваться.

Обеспечение контроля доступа на объект работающих, или посторонних лиц, может быть осуществлено с помощью следующих средств:

а) с помощью механических устройств ограничения доступа (замки и т.п.);

б) с помощью специально обученных животных (собаки, птицы и т.д);

в) с помощью технических приборов;

г) с помощью специалистов-охранников.

Наиболее эффективными средствами контроля доступа являются специально обученные животные и специалисты-охранники. Но, они являются наиболее дорогими средствами. Менее дорогими являются технические средства. Но в практическом аспекте следует комбинировать все эти средства, отыскивая наиболее дешевый и эффективный вариант. Поэтому рассмотрим технические средства контроля доступа на охраняемые объекты. Сегодня широко используются электронные средства контроля доступа.

Все электронные средства контроля доступа на объекты обычно известны как системы автоматизированного контроля доступа и они состоят из трех основных элементов:

1. Элементы идентификации лиц, которым разрешено присутствие на охраняемом объекте. Это могут быть, например, карточка, или специальный знак, которые подтверждают разрешение, сканирование биометрических характеристик лица. Наконец, это может быть информация, которая предоставлена лицу о коде или идентификационном номере.

2. Устройства, которые обнаруживают элементы идентификации. Они располагаются на постах контроля доступа на объект и способны распознавать элементы идентификации лиц, которым разрешен доступ.

3. Устройства, которые способны воспринимать информацию, оценивать ее и снимать, или ставить физические препятствия на пути лица. Это, как правило, компьютер вместе с другими физическими устройствами.

Второй и третий элементы системы могут объединяться в одном устройстве, делающем ее более дешевой. Электронные средства контроля имеют некоторые преимущества перед специалистами и животными. Прежде всего, это быстрое блокирование доступа, когда элементы идентификации лица не отвечают разрешению. Электронная система осуществляет учет работников и посетителей, которые находились на объекте. Как преимущество считается возможность дистанционной идентификации лица.

Идентификация лиц, которые находятся на объекте, происходит с помощью их физических характеристик (отпечатков пальцев, голоса, сетчатки глаза и т.п.). Поскольку эти характеристики человека практически неповторимы, контроль допуска по их характеристикам является наиболее надежным и он применяется на очень важных и ценных объектах охраны. Но в процессе их применения надо помнить, что, во-первых, сегодня это пока очень дорогая техника, и, во-вторых, она имеет низкую «производительность», т.е. пропускную способность. Биометрический метод требует не менее 30 секунд времени, чтобы идентифицировать человека и пропустить, или заблокировать ее проход.

Соответственно элементам идентификации используют и устройства для чтения информации и принятие решения. Они бываю непосредственного контакта, если речь идет о карточках Виганда и карточки с магнитными лентами, идентификационные коды и биометрические и дистанционные методы.

В процессе конкретного решения вопроса о применении технических средств контроля следует учитывать следующие обстоятельства:

а) допустимость применения конкретной системы контроля доступа с учетом ценности охраняемого объекта, максимального количества лиц, которых надо идентифицировать, а также скорости обработки информации и принятия решения системой и количества пунктов контроля;

б) совместимость системы контроля с помещениями и оборудованием помещений (дверь, окна и т.п.). Часто технические устройства вступают в противоречие с помещениями, их архитектурой или естетикой;

в) пропускную способность технической системы;

г) адекватность стоимости системы ценности охраняемого объекта.