Протиповітряний "Панцир" для російської армії. Ешелонована система ППО

Принцип ешелонованої оборони набуває все більшого поширення серед фахівців з безпеки. Однак, його практична реалізаціячасто неправильна. Стратегія оборони не повинна обмежуватися лише нагромадженням численних контрольних перевірок та технологій захисту. Сутність ешелонованої оборони – у продуманому розташуванні засобів захисту. Для успішної організації ешелонованої оборони необхідно провести хороший аналіз загрози, під час якого необхідно визначити:

• ресурси та значення цих ресурсів;
• небезпеки, яким наражаються ресурси, та ймовірність кожної загрози;
• вектори загрози, які можна використовувати для атаки на підприємство.

Концепція ешелонованої оборони існує тисячі років, тому я наведу часто використовуваний приклад середньовічного замку, щоб показати, що властиво і що невластиво ешелонованій обороні. Для ясності викладу спростимо завдання і розглянемо лише один із векторів загрози, проти якого необхідно захистити замок: пряма атака через головні ворота. Замок має численні засоби захисту проти цього вектора загрози. Якщо оборону правильно організовано, зломщикам доведеться подолати кожен рубіж, перш ніж їм вдасться по-справжньому загрожувати людським, військовим, політичним чи матеріальним ресурсам замку.

По-перше, нападники повинні ухилитися від граду стріл на підході до замку. Потім, якщо підвісний міст піднято, нападники повинні подолати рів і проникнути у ворота, закриті піднятим мостом. Після цього нападники повинні пройти вузьким проходом, утвореним стінами і спробувати пройти крізь внутрішні ворота під ударами захисників замку.

Цей сценарій - гарний прикладбагаторівневої оборони, організованої проти одного вектора загрози. Однак проста наявність засобів захисту не означає, що підприємство має справді ешелоновану оборону проти конкретних загроз. Наприклад, ще один вектор загрози проти замку – підрив стін. Від цієї небезпеки захищає рів, але як бути, якщо облягаючим вдасться осушити його? Оборону замку навряд чи можна назвати ешелонованою, якщо немає додаткових засобів, наприклад, фундаменту, що глибоко йде в землю, або готового запасу киплячої смоли, яку можна в будь-який момень вилити на противника зі стін.

У світі ІТ немає єдиного непереборного засобу захисту, і жодна стратегія інформаційної безпеки буде повної без ешелонованої стратегії. Непросто реалізувати цю стратегію у корпорації, якій необхідно захистити свої інформаційні ресурси. Перевага замків полягала в наявності єдиної точки входу, а у виробничих мережах компаній існує безліч входів (зокрема з'єднання з постачальниками, провайдерами послуг та споживачами), що робить оборону більш пористою. Крім того, в даний час кількість векторів загроз набагато більша, ніж кілька років тому. На початку 1990-х безпека мережі зводилася по суті до захисту від атак на рівні пакетів, а брандмауери були маршрутизаторами з додатковими можливостями. Сьогодні загрози для внутрішніх ресурсів походять від переповнень буфера, SQL-підмін, шкідливих Web-сторінок, поштових повідомлень з активним контентом, бездротових з'єднань, підроблених URL та багатьох інших типів атаки.

У такому динамічному, складному середовищі зломщик може обійти будь-яку перешкоду за наявності сприятливих обставин. Розглянемо, наприклад, антивірусні програми. Новий вектор атаки може обійти класичні перевірки, також як програми IM обходять перевірки з боку антивірусних утиліт. До мережі підприємства може бути підключений єдиний комп'ютер без обов'язкової антивірусної програми. Важливе оновлення вірусних сигнатур може вийти із запізненням або не буде застосовано у філії. Антивірусний механізм може пропустити вірус, або станеться збій антивірусної програми через некоректне виправлення. Всі ці події трапляються насправді.

Стратегія вичерпної ешелонованої оборони

У сучасних умовахважливіше, ніж будь-коли в минулому, застосувати кілька засобів проти кожної загрози. На прикладі антивірусної програми можна розглянути, як використовувати комбіновані прийоми для формування вичерпної ешелонованої оборони проти вірусів та інших шкідливих програм.

Початковий рівень представлений антивірусною програмою, спрямованою проти найпоширеніших векторів (або входів) загрози, до яких належать електронна пошта, Web та IM. Антивірусну технологію слід встановити на шлюзових серверах SMTP, які обробляють вхідний поштовий потік, та розгорнути антивірусне програмне забезпеченняна брандмауерах та вхідних пристроях, які перехоплюють дані, що пересилаються при переміщеннях по Web та завантаження файлів. Засоби безпеки IM менш зрілі, ніж рішення для електронної пошти та Web. Крім того, проблема ускладнюється через широке поширення IM-служб і здатність IM-клієнтів обходити захисні заходи шлюзів. Тим не менш, існують рішення, за допомогою яких можна надіслати внутрішні та зовнішні IM-повідомлення через єдиний канал з антивірусним фільтром та іншими функціями безпеки.

Але електронна пошта, Web та IM - не єдині вектори поширення шкідливих програм. Наприклад, ними можуть бути змінні носії, зокрема гнучкі диски, компакт-диски, пристрої USB та флеш-пам'яті. Користувач може принести ноутбук в Internet-кафе, підключитися до Wi-Fi-мережі, наразитися на напад, а потім повернутися з комп'ютером в офіс і встановити з'єднання з мережею підприємства, обійшовши периметричний захист. Це лише деякі з можливих шляхів розповсюдження небезпечних програм. Неможливо блокувати всі маршрути проникнення за допомогою спеціалізованих засобів. Зрештою, у кожній організації з'являються захищені вектори та відкриті вектори без превентивних заходів.

Що відбувається, якщо шкідлива програма обходить периметричний захист через незахищений вектор, чи спеціалізований засіб безпеки виявляється неефективним? Подальший розвиток подій залежить від наявності ешелонованої оборони. У середні віки головною турботою захисників замку була кругова оборона від атаки навколишньої місцевості. Оборонні укріплення починалися на далеких підходах до замку, і ставали все більш потужними в міру наближення до центру замку. Найбільш захищеною була головна вежа, яка являла собою замок у замку. Якщо зобразити оборонні рубежі у вигляді концентричних кіл навколо об'єкта, що захищається, то стає очевидною причина вибору даного підходу. Чим далі від об'єкта, тим більша довжина кола і тим більше ресурсів потрібна для організації кругової оборони.

p align="justify"> Різні методи захисту від вірусів, розглянуті вище, забезпечують широту, але не глибину оборони. Наприклад, заражений файл проходить перевірку не більше, ніж одним із антивірусних інструментів, залежно від вектора, з якого з'явився файл. Незважаючи на важливість ширини, не можна сподіватися блокувати будь-яку небезпеку на фізичному чи логічному периметрі мережі. Тому блокуються найпростіші або найчастіше використовувані вектори зараження, а потім формується більш глибоке кільце оборони.

Другий рівень оборони може бути комбінацією засобів виявлення, лікування та додаткової профілактики. Приклад засобів виявлення – сканування файлів у процесі прийому. У багатьох антивірусних продуктах файли перевіряються, перш ніж їх зможуть відкрити програми. Антивірусне рішення, яке відправляє до карантину чи відновлює файли, одночасно виконує і функцію лікування. Якщо сканування файлів у процесі прийому призводить до помітного падіння швидкодії користувачів або процесорів, то можна регулярно сканувати томи серверів і робочих станцій, та інші сховища файлів у періоди малого робочого навантаження.

Різні засоби виявлення можуть бути як складними, так і простими, але ефективними. До складних належать системи виявлення та запобігання несанкціонованому доступу, які контролюють трафік у мережах, відшукуючи віруси та "хробаків". Однак у цих дорогих системах використовується база даних відомих атак, яка потребує постійного оновлення. Крім того, при аналізі пакетів існує проблема втрачених пакетів та некоректного відновлення потоків даних. Серед простих рішень - організація папок-приманок, які містять легко доступні для модифікації файли. Потім спеціальні процеси виявляють зміни у файлах. Файли є лише наживкою, і будь-яка спроба змінити їх можна як свідчення діяльності шкідливої ​​програми.

Можна реалізувати інший рівень превентивного контролю, розмістивши брандмауери на хост-машинах, максимально посиливши порядок зміни файлів і виключивши або обмеживши доступ до папок, що розділяються. В результаті всіх цих заходів вірусам та "хробакам" важче виявляти ще незаражені файли та системи.

Оцінка надійності захисту

Ешелонована оборона - ефективний спосіб боротьби з багатовекторними небезпеками, що постійно змінюються, в сучасному інформаційному середовищі. Захист має бути не лише широким, а й глибоким. Не слід обмежуватися лише фізичною зоною оборони, розглядаючи лише фізичну мережу та межі систем. На відміну від архітектора замку, якому потрібно захистити єдину точку входу, адміністратору ІТ доводиться мати справу з безліччю точок у вигляді окремих комп'ютерів, додатків, сховищ даних та процесів. Оборона буде дійсно ешелонованою, якщо для кожного ресурсу існує більше одного захисту від конкретної загрози.

Ерік Байрс для InTech

Будь-який метод забезпечення інформаційної безпеки сам собою недостатній

• Постійно виникають нові загрози інформаційній безпеці
• Надія на єдине рішення щодо інформаційної безпеки обертається великою вразливістю
• Ешелонована оборона підвищує захищеність

Останні два роки тривожні дзвінки у галузі промислової автоматизації звучать практично безперервно. Вперше вона стала метою витончених кібератак, які проводяться за допомогою таких інструментів як Stuxnet, Night Dragon та Duqu.

Найнебезпечнішою загрозою після епохи Stuxnet стало шкідливе програмне забезпечення відоме як Shamoon. Як і у випадках зі Stuxnet, Duqu та Flame, воно було націлене на організації на Близькому Сході, такі як Saudi Aramco (Саудівська Аравія), RasGas (Катар), а також інші нафтогазові концерни регіону. Однак це було щось нове – оскільки нове шкідливе ПЗ не порушувало хід технологічних процесів, подібно Stuxnet, і не викрадало інформацію, подібно до Flame або Duqu.

Натомість, воно видалило і переписало заново інформацію на десятках тисяч жорстких дисків (було порушено від 30 000 до 55 000 робочих станцій, так-так, ці числа вірні!) по всій компанії Saudi Aramco (і, можна тільки припускати, скільки ще в інших компаніях). Зважаючи на все, атака була здійснена якимось розлюченим співробітником, який діяв зсередини корпоративного файрвола.

Shamoon та інші вчать нас одному й тому - надія на одне єдине рішення для захисту (таке як файрвол) означає, що вся система виявляється залежною від однієї єдиної вразливої ​​точки. Рано чи пізно, незалежно від того, наскільки добре це єдине захисне рішення, чи заповзятливі недоброзичливці, чи чергове знаряддя Законів Мерфі прорвуть захист. І вся система виявиться відкритою для атак. Набагато ефективнішою стратегією захисту є т.зв. «ешелонована оборона» (англ. defense in depth)

Повертаємось до основ

Ешелонована оборона не є чимось унікальним для ІТ або SCADA-систем. По суті вона навіть не унікальна для інформаційної безпеки. Це військова стратегія, відома з часів Стародавнього Риму. Пошукайте в мережі Інтернет і ви знайдете таке визначення (Вікіпедія):

Ешелонована оборона – це військова стратегія; її метою є не так запобігання просуванню ворога, як його уповільнення. При цьому сторона, що захищається, повільно поступаючись територією, виграє час, а також, завдає додаткових збитків атакуючій стороні. Замість того, щоб намагатися завдати атакуючій стороні поразки за допомогою єдиного та сильного захисного рубежу, ешелонована оборона послаблює наступальний порив у міру його поширення на дедалі більшій території.

Ешелонована оборона на прикладі банківської галузі

Якщо вам потрібно забезпечити безпеку системи управління, вищезазначене визначення, на жаль, не дуже допоможе. Давайте подивимося на те, як забезпечується безпека в банках, і з'ясуємо, чи можна з їхнього досвіду взяти для себе щось корисне.

Ніколи не запитували себе: чому типовий банк набагато безпечніший, ніж житловий будинок чи магазин? Це не через сталеві двері чи озброєну охорону. Самі по собі вони звичайно допомагають, проте їхня цінність багато в чому нівелюється тим фактом, що грабіжники банків також набагато краще озброєні та налаштовані більш рішуче порівняно, скажімо, з типовими грабіжниками.

Банк використовує численнізаходи безпеки для того, щоб досягти максимального рівня. Наприклад, у типовому банку є сталеві двері, куленепробивні вікна, охорона, сейфи розміром з кімнату, охоронні сигналізації, камери відеоспостереження, касири, які пройшли відповідне навчання. І найбільш важливим є навіть не те, що в банку багато заходів безпеки, а те, що кожен із них створений для боротьби з певним видомзагроз.

Наприклад, банківські двері – ефективні, але прості пристрої безпеки. Вони або відкриті, або зачинені. Вони або надають або запобігають доступу клієнтів, за принципом: все чи нічого - незалежно від того, як відвідувач виглядає або поводиться.

На один рівень вище знаходиться охорона. Охоронці здійснюють контроль для очищення потоку відвідувачів. Вони гарантують, що до банку увійдуть відвідувачі з об'єктивною необхідністю в ньому, і які поводитимуться в рамках загальноприйнятих норм. Кожен відвідувач оцінюється за низкою критеріїв: носить чи не носить маску, чи підозріло його поведінка тощо.

На наступному рівні – касири, паролі тощо, які не дозволяють вже допущеним до банку клієнтам отримати доступ до чужих рахунків. Касиров не турбує, повинен чи не повинен бути даний клієнт у банку. Вони визначають, чи має право доступу до конкретного рахунку.

Рівні: багато та різні

Банківська аналогія вказує на три важливі аспекти «ешелонованої оборони»:

• Численні рівні захисту. Не можна покладатися тільки на єдиний інструмент захисту, хоч би який гарний він був.
• Диференційовані рівні захисту. Переконайтеся, що кожен рівень захисту відрізняється від інших. Це гарантує, що навіть якщо зловмисник пройде перший рівень, його спосіб не стане «чарівним ключем» до інших рівнів захисту.
• Адаптованість до конкретних контекстів та загроз. Кожен із рівнів захисту має бути розроблений так, щоб відповідати певному контексту та загрозі.

Останній момент, можливо, найменш очевидний, проте, найбільш важливий. Повертаючись, наприклад, із банком: зверніть увагу - там не просто розставляють додаткову охорону на кожному рівні. У банківській галузі розуміють: загрози можуть бути дуже різними - від зневіреного наркомана, який розмахує пістолетом, до витонченого шахрая. Тому у банках кожен рівень захисту адаптований до конкретних загроз.

Адаптація до загрози

Як все це стосується проблеми безпеки на виробництві? Як і банк, ІТ-і SCADA-системи можуть бути схильні до різних загроз безпеки: від розлючених співробітників до шкідливого ПЗ, DoS-атак і розкрадання інформації. Необхідно враховувати всі ці погрози та захищатися від усіх.

Наприклад, прикордонний файрвол можна порівняти з охоронцем. Мережеві повідомлення, які використовують певні протоколи, або пропускаються або не пропускаються в мережу управління. Ідеальний варіант для захисту від таких атак, як звичайні "хробаки" або неспеціалізовані DoS-атаки.

Більш досконалі файрволи, призначені для роботи зі SCADA-системами, аналізують трафік, навіть якщо він не належить до основних мережевих протоколів. Це дозволяє здійснювати захист на основі поведінки та контексту систем, які використовують ці протоколи у системі управління. Наприклад, якщо операторська робоча станція несподівано починає спроби запрограмувати ПЛК, швидше за все це діє черв'як на зразок Stuxnet або розлючений співробітник. Такі атаки повинні негайно запобігати і підніматися тривога, щоб запобігти серйозному ризику системі.

Нарешті, сервери та контролери, з належними налаштуваннями безпеки, можуть діяти аналогічно добре вишколеному касиру. Після успішного підключення користувача до сервера або контролера програма безпеки гарантує, що користувач отримує доступ тільки до тих програм і даних, для яких він авторизований. Спроби отримати доступ до інших сервісів та даних повинні блокуватися та реєструватися.

Як у прикладі зі сталевими дверима, охоронцями та касирами, файрвол периметра, що забезпечує захист кордону, файрвол ІТ- та SCADA-систем, що забезпечує внутрішню безпеку, а також сервер, що забезпечує безпеку на рівні додатків, формують ефективну команду. Наприклад, файрвол може блокувати мільйони шкідливих повідомлень, спрямованих у систему управління у рамках DoS-атаки. У той же час, глибока інспекція пакетів (англ. Deep Packet Inspection або DPI) та перевірка авторизації користувачів не дозволять хробакові або користувачеві всередині файрвола вносити зміни, які можуть зазнати ризику майна або життя.

Забезпечуємо надійну безпекуна виробництві

Залежність від єдиного рішення щодо забезпечення інформаційної безпеки, такого як файрвол периметра, означає, що ваш захист може бути прорваний одним ударом. Необхідно розробляти та впроваджувати системи ешелонованого захисту, в яких мережа, пристрої управління, різні системи захищені – захищені всі. Саме це дозволить забезпечити інформаційну безпеку належного рівня виробництва.

Ерік Байрс (Eric Byres) ( [email protected]), технічний директорта віце-президент з виробництва Tofino Security (частина групи Hirschmann, бренд Belden) є визнаним галузевим експертом у галузі інформаційної безпеки промислових систем. Він очолює робочу групу з технологій безпеки в ISA99, а також робочу групу з аналізу інформаційних загроз у ISA99. Внесок Еріка у розвиток галузі промислової автоматизації, видатні досягнення у науці та техніці, отримали визнання Міжнародного Товариства Автоматизації (ISA), який присвоїв йому звання «Почесного члена ISA».

1. ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

1.1 Актуальність

1.2 Ціль

1.3 Завдання

2. ОСНОВНИЙ ЗМІСТ РОБОТИ

2.1 Ешелонований захист

2.2 Складові ешелонованої системи захисту інформації

2.2.1 Антивірусні програми

2.2.2 Протоколювання та аудит

2.2.3 Фізичний захист

2.2.4 Аутентифікація та парольний захист

2.2.5 Міжмережні екрани

2.2.6 Демілітаризована зона

2.2.7 VPN

2.2.8 Система виявлення вторгнень

3. ОСНОВНІ РЕЗУЛЬТАТИ РОБОТИ

СПИСОК ВИКОРИСТАНИХ ІНФОРМАЦІЙНИХ ДЖЕРЕЛ

ешелонований захист антивірусний інформація

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ.

Вивчення ешелонованої системи захисту в комп'ютерних системах «офісного» типу актуально у зв'язку з постійним зростанням кількості атак на мережі великих організацій з метою, наприклад, копіювання баз даних, що містять конфіденційну інформацію. Така система захисту є дуже потужним засобом проти зловмисників і може ефективно стримувати їх спроби несанкціонованого доступу (НСД) до системи, що захищається.

1.2 Ціль

Метою даної є вивчення ешелонованої системи захисту комп'ютерних систем «офісного» типу.

1.3 Завдання

Для досягнення поставленої мети необхідно вирішити такі завдання:

Вивчити принципи побудови та роботи ешелонованої системи безпеки;

Вивчити незалежні системи захисту, що включаються до ешелонованої системи захисту інформації;

Визначити вимоги до систем захисту;

2. ОСНОВНИЙ ЗМІСТ РОБОТИ

2.1 Ешелонований захист

Ешелонований захист (англ. Defense in Depth) - концепція страхування інформації, в якій кілька різних шарів систем захисту встановлені по всій комп'ютерної системи. Його призначення - надавати надмірну захищеність комп'ютерної системи у разі несправності системи контролю безпеки або під час використання зловмисником певної вразливості.

Ідея ешелонованого захисту полягає у захисті системи від будь-якої атаки, використовуючи, як правило, послідовно ряд незалежних методів.

Спочатку ешелонований захист був суто військовою стратегією, що дозволяє швидше не попередити і запобігти, а відкласти атаку противника, купити небагато часу для того, щоб правильно розташувати різні заходи захисту. Для повнішого розуміння можна навести приклад: колючий дріт ефективно стримує піхоту, але танки легко переїжджають її. Однак протитанковими їжаками танк проїхати не може, на відміну від піхоти, яка їх просто обходить. Але якщо їх використовувати разом, то ні танки, ні піхота швидко пройти не зможуть, і сторона, що захищається, буде час на підготовку.

Ешелонований захист

Ешелонований захист (Defense in Depth) - концепція страхування інформації, в якій кілька різних шарів систем захисту встановлені по всій комп'ютерній системі. Його призначення - надавати надмірну захищеність комп'ютерної системи у разі несправності системи контролю безпеки або під час використання зловмисником певної вразливості.

Ідея ешелонованого захисту полягає у захисті системи від будь-якої атаки, використовуючи, як правило, послідовно ряд незалежних методів.

Спочатку ешелонований захист був суто військовою стратегією, що дозволяє швидше не попередити і запобігти, а відкласти атаку противника, купити небагато часу для того, щоб правильно розташувати різні заходи захисту. Для повнішого розуміння можна навести приклад: колючий дріт ефективно стримує піхоту, але танки легко переїжджають її. Однак протитанковими їжаками танк проїхати не може, на відміну від піхоти, яка їх просто обходить. Але якщо їх використовувати разом, то ні танки, ні піхота швидко пройти не зможуть, і сторона, що захищається, буде час на підготовку.

Розміщення механізмів захисту, процедур та політик покликане підвищити захищеність комп'ютерної системи, де кілька рівнів захисту можуть запобігти шпигунству та прямим атакам на критично важливі системи. З точки зору комп'ютерних мереж, ешелонований захист призначений не тільки для запобігання НСП, але й для надання часу, за який можна виявити атаку і відреагувати на неї, тим самим знижуючи наслідки порушення.

У комп'ютерній системі «офісного» типу може оброблятись інформація з різними рівнями доступу - від вільної, до інформації, що становить державну таємницю. Саме тому, для запобігання НСД та різних видіватак, у такій системі потрібна наявність ефективної системи захисту інформації.

Далі будуть розглянуті основні прошарки захисту (ешелони), що використовуються в ешелонованих системах захисту. Слід врахувати, що система захисту, що складається з двох і більше наведених систем, вважається ешелонованою.

Складові ешелонованої системи захисту інформації

Антивірусні програми

Антивірусна програма (антивірус) - спеціалізована програма для виявлення комп'ютерних вірусів, а також небажаних (вважаються шкідливими) програм взагалі та відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики - запобігання зараженню (модифікації) файлів або операційній системі .

Належить до програмних засобів, що використовуються з метою забезпечення захисту (некриптографічними методами) інформації, що містить відомості, що становлять державну таємницю, іншої інформації з обмеженим доступом.

Класифікувати антивірусні продукти можна відразу за декількома ознаками:

За технологіями антивірусного захисту:

Класичні антивірусні продукти (продукти, що застосовують лише сигнатурний метод детектування);

Продукти проактивного антивірусного захисту (продукти, що застосовують лише проактивні технології антивірусного захисту);

Комбіновані продукти (продукти, які застосовують як класичні, сигнатурні методи захисту, і проактивні).

За функціоналом продуктів:

Антивірусні продукти (продукти, які забезпечують лише антивірусний захист)

Комбіновані продукти (продукти, що забезпечують не тільки захист від шкідливих програм, а й фільтрацію спаму, шифрування та резервне копіювання даних та інші функції);

За цільовими платформами:

Антивірусні продукти для ОС сімейства Windows;

Антивірусні продукти для ОС сімейства * NIX (до цього сімейства відносяться ОС BSD, Linux та ін);

Антивірусні продукти для операційної системи сімейства MacOS;

Антивірусні продукти для мобільних платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 та ін.).

Антивірусні продукти для корпоративних користувачів також можна класифікувати за об'єктами захисту:

Антивірусні продукти для захисту робочих станцій;

Антивірусні продукти для захисту файлових та термінальних серверів;

Антивірусні продукти для захисту поштових та Інтернет-шлюзів;

Антивірусні продукти для захисту віртуалізації серверів.

Вимоги до засобів антивірусного захисту включають загальні вимоги до засобів антивірусного захисту та вимоги до функцій безпеки засобів антивірусного захисту.

Для диференціації вимог щодо функцій безпеки засобів антивірусного захисту встановлено шість класів захисту засобів антивірусного захисту. Найнижчий клас – шостий, найвищий – перший.

Засоби антивірусного захисту, що відповідають 6 класу захисту, застосовуються в інформаційних системах персональних даних 3 та 4 класів.

Засоби антивірусного захисту, що відповідають 5 класу захисту, використовуються в інформаційних системах персональних даних 2 класу.

Засоби антивірусного захисту, що відповідають 4 класу захисту, застосовуються в державних інформаційних системах, в яких опрацьовується інформація обмеженого доступу, що не містить відомостей, що становлять державну таємницю, в інформаційних системах персональних даних 1 класу, а також в інформаційних системах загального користування II класу.

Засоби антивірусного захисту, що відповідають 3, 2 та 1 класам захисту, застосовуються в інформаційних системах, в яких опрацьовується інформація, що містить відомості, що становлять державну таємницю.

Також виділяються такі типи засобів антивірусного захисту:

тип "А" - засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для централізованого адміністрування засобами антивірусного захисту, встановленими на компонентах інформаційних систем (серверах, автоматизованих робочих місцях);

тип "Б" - засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для застосування на серверах інформаційних систем;

тип «В» – засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для застосування на автоматизованих робочих місцях інформаційних систем;

тип "Г" - засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для застосування на автономних автоматизованих робочих місцях.

Засоби антивірусного захисту типу «А» не застосовуються в інформаційних системах самостійно та призначені для використання лише спільно із засобами антивірусного захисту типів «Б» та (або) «В».

Мета ешелонованого антивірусного захисту полягає у фільтрації шкідливого ПЗ на різних рівнях системи, що захищається. Розглянемо:

Рівень підключення

Корпоративна мережа як мінімум складається з рівня підключення та ядра. На рівні підключення у багатьох організацій встановлені засоби міжмережевого екранування, системи виявлення та запобігання вторгненням (IDS/IPS/IDP) та засоби захисту від атак типу відмови в обслуговуванні. На основі даних рішень реалізується перший рівень захисту від проникнення шкідливого ПЗ. Міжмережеві екрани та засоби IDS/IPS/IDP «з коробки» мають вбудований функціонал інспекції на рівні протокол-агентів. Більш того, стандартом де-факто для UTM рішень є вбудований антивірус, який перевіряє вхідний/вихідний трафік. Наявність потокових антивірусів у міжмережевих екранах також стає нормою. Подібні опції з'являються частіше в нових версіях добре відомих всім продуктів. Однак багато користувачів забувають про вбудовані функції мережного обладнання, але, як правило, їх активація не вимагає додаткових витрат на купівлю опцій розширення.

Таким чином, оптимальне застосування вбудованих функцій безпеки мережного обладнання та активація додаткових опцій антивірусного контролю на міжмережевих екранах дозволить створити перший рівень ешелонованого захисту.

Рівень захисту програм

До рівня захисту додатків можна віднести як шлюзові рішення щодо антивірусної перевірки, так і засоби безпеки, спочатку спрямовані на вирішення не антивірусних завдань. Подібні рішення представлені на ринку та сертифіковані за вимогами ФСТЕК Росії. Дані продукти не вимагають серйозних витрат при впровадженні і не прив'язані до типів контенту, що перевіряється, а тому можуть використовуватися в організаціях будь-якого масштабу.

Рішення, основною функцією яких не є антивірусна перевірка, можуть виступати в ролі другого рівня фільтрації шкідливого ПЗ. Прикладом служать широко поширені шлюзові рішення щодо фільтрації спаму та захисту веб-сервісів - URL-фільтрації, Web Application Firewall, засоби балансування. Найчастіше вони мають можливість здійснювати антивірусну перевірку оброблюваного контенту за допомогою декількох виробників фільтрації шкідливого контенту. Зокрема реалізація антивірусної перевірки на рівні поштових систем або шлюзів фільтрації спаму. У разі послідовного застосування кількох антивірусних продуктів ефективність фільтрації вірусів у вхідній/вихідній кореспонденції може досягати майже 100%.

За допомогою зазначеного підходу можна вже на першому та другому рівні ешелонованого захисту досягти серйозних показників фільтрації шкідливого ПЗ. Іншими словами, при реалізації адекватної системи антивірусного захисту (до користувача) левова часткашкідливого програмного забезпечення буде відфільтровано на рівні шлюзових рішень того чи іншого призначення.

Рівень захисту хоста

Під захистом хостів мається на увазі реалізація функцій антивірусних перевірок серверів та робочих місць користувачів. Оскільки у повсякденній роботі співробітники застосовують безліч стаціонарних та мобільних пристроїв, то потрібно захищати їх усі. Більше того, простий сигнатурний антивірус вже давно не вважається за серйозний інструмент захисту. Саме тому багато організацій перейшли на технології Host IPS, яка дозволяє задіяти під час перевірки додаткові механізми контролю/захисту за допомогою функціоналу міжмережевого екрану, IPS-системи (поведінковий аналіз).

Якщо питання захисту робочих місць користувачів вже добре відрегульовані, то реалізація Host IPS на прикладних серверах (фізичних чи віртуальних) - завдання специфічне. З одного боку, технологія Host IPS має істотно збільшувати завантаження сервера, з іншого -- зобов'язана забезпечити необхідний рівень захищеності. Розумний баланс можна знайти лише за допомогою пілотного тестування рішення на конкретному наборі програм та апаратної платформи.

Якщо йдеться про системи виявлення порушень, слід пам'ятати одне - системи подачі тривоги самі по собі не запобігають злочину. Їхнє завдання - доповісти вам, що хтось намагається викрасти майно, цінності.

Слід звернути увагу ще на одну обставину: системи подачі сигналів тривоги виявляють спроби проникнення на територію фірми злочинців, але також можуть подавати сигнали тривоги проти власного персоналу, якому заборонено доступ до окремих внутрішні структури(наприклад, сейфи, сховища, секретні ділянки та лабораторії тощо). Але ще немає технічних систем, які б виявляти злочинні наміри своїх працівників фірми. Цю обставину треба мати на увазі для формування технічних систем захисту.

Технічна система виявлення порушень та злочинівмає певні функціїв загальної системибезпеки об'єкта господарювання З її допомогою необхідно вирішувати такі завдання:

а) встановлення факту виникнення небезпечної ситуації вчинення злочину;

б) сигнал сигналу тривоги;

в) контроль та моніторинг розвитку небезпечної ситуації;

г) активізація реагування на небезпечну ситуаціюз метою припинення злочину чи порушення.

Хороша системаподання сигналів тривоги має відповідати таким вимогам:

1. Надійно виявляти присутність людини без дозволу на об'єкті, що охороняється.

2. Надійно виявляти проникнення порушників та злочинців у фірму через технічні бар'єри охорони.

3. Своєчасно приводити в дію системи припинення порушень та злочинів.

4. Виняток фальшивої тривоги.

Згідно ПППАОС, всі системи подачі тривоги можна умовно поділити на три групи:

Зовнішні системи подачі сигналів тривоги, що встановлюються незалежно;

Зовнішні системи подачі сигналів тривоги, що встановлюються на огорожах;

Внутрішня система подачі сигналів тривоги.

Коротко охарактеризуємо ці системи.

У зовнішніх системах подачі сигналів тривоги, які встановлюються незалежно, найчастіше використовуються такі технічні пристрої:

Пристрої інфрачервоного випромінювання. У цих технічних системах використовуються генератори та приймачі інфрачервоного випромінювання, які встановлюються непомітно поза парканом. У ясну, суху погоду горизонтальні інфрачервоні промені дають чітке зображення на значній відстані та фіксують усі факти їхнього перетину. Під час інтенсивного дощу або туману промені можуть послаблюватися або розсіюватися, що знижує їх ефективність. Таємне та захищене встановлення генераторів та приймачів ІЧ випромінювання необхідне для того, щоб вони не використовувалися злочинцями для подолання захисту та навмисного заподіяння фальшивої тривоги, щоб спланувати ефективне подолання перешкоди. Коштують ці системи дорого.

Мікрохвильовий паркан.Як і в попередньому випадку, використовуються генератори та приймачі, але мікрохвильового випромінювання. При перетині променів змінюються їх характеристики, що і фіксує приймач. Вважається, що ця система надійніша, ніж системи ІЧ випромінювання. Недоліками її є необхідність підтримувати чисту площину між приймачем і генератором, а також можливі фальшиві сигнали тривоги, що викликаються тваринами, легкими предметами, що переміщуються вітром, а також штучно створювані злочинцями. Монтується також таємно.

Системи контролю тиску на ґрунт.Дуже ефективні системи нічного контролю проходження людини, або наземних транспортних засобів. У ґрунт монтуються оптико-волокнисті кабелі, які заповнюються спеціальною рідиною, здатною за допомогою спеціальних детекторів фіксувати зміну тиску та виявляти несанкціоноване перетин бар'єрів. Система дорога, але практично не викликає фальшивої тривоги.

У зовнішньому середовищі також використовуються системи подачі сигналів тривоги, що встановлюються на огорожах. ЗДля них можна виділити мікрофонні акустичні кабелі. Мікрофони на кабелі до 300 м-код монтуються на парканах. Вони дають можливість виявляти вібрацію та шум, що виникають при спробі подолати паркан, або його розібрати. Порушення визначаються виходячи з відхилення сигналів від рівня. Система щодо дешева.

Широко використовуються для певної мети також датчики вібрації. Зазвичай такі пристрої складаються з інерційних або п'єзоелектричних пристроїв, що монтуються на парканах та підключаються до загальної електричної або електронної мережі. Якщо огорожа піддається механічному впливу, електрична або електронна мережа розмикається, що фіксується приладами.

Більш удосконаленою є система застосування оптиковолоконних кабелів.Такий кабель монтується в паркан і надсилається по ньому світловий сигнал. При механічній дії на паркан змінюються параметри світлового сигналу, що фіксується та оцінюється спеціальними датчиками. Оскільки має високу чутливість, можливі хибні сигнали.

Також для подачі сигналів тривоги на парканах широко використовуються датчики електромагнітного поля. Це кабелі – провідники, що монтуються на паркані, або стіні, але ізольовані від прямого контакту з ними. Коли електромагнітне поле потрапляє сторонній предмет, змінюється його частота. Висока чутливість системи вимагає очищення навколишнього середовища біля забору від сторонніх предметів, щоб уникнути помилкових сигналів.

Розташування технічних приладів по периметру території, або на будівлі об'єкта, що охороняється, ще не гарантує 100-відсоткового контролю доступу, так як кожна будівля, або об'єкт має шість площин, обладнання яких технічними приладами дуже дорого. Тому, крім технічних засобів виявлення спроб проникнути на об'єкти захисту, широке застосування мають пристрої, з допомогою яких контролюється присутність у ньому людини чи групи людей. Ці технічні засоби називаються об'ємно-просторовими.

Для цього використовують детектори на пасивному інфрачервоному випромінюванні. Це найпоширеніші прилади, які дають змогу виявляти у приміщенні наявність чи рух фізичних об'єктів. В основі їх дії лежить здатність приймати та фіксувати інфрачервоне випромінювання, яке притаманне кожному об'єкту різною мірою. Раніше використовували датчики, які приймають інфрачервоне випромінювання, які можна було блокувати, тобто. прикривати, чим користувалися злочинці. Але останнім часом розроблено датчики, які подають сигнали на диспетчерські пункти та при спробі блокування.

З цією ж метою використовують і мікрохвильові датчики. Вони посилають мікрохвилі в контрольований простір, тому поява стороннього предмета відбиває хвилі приймач, який фіксує зміни у хвильовому полі.

Для об'ємно-просторового контролю також використовуються ультразвукові детектори. Вони діють аналогічно мікрохвильовим датчикам, але у діапазоні високочастотних хвиль. Ультразвукові детектори особливо ефективні для контролю великих приміщень, але мають недоліки: не можуть подолати скло, або перегородки, подають фальшиві сигнали, коли є джерело ультразвукового випромінювання (наприклад, від дискових гальм авто і т.п.).

Для уникнення недоліків окремих технічних засобів охорони часто використовуються прилади, які називаються «технологічними парами». Технологічна пара- це поєднання двох датчиків в одному корпусі. Найчастіше використовується комбінація інфрачервоного детектора та мікрохвильового чи ультразвукового датчика. Вартість таких пристроїв висока, але ефективність висока.

4. Організація технічних систем контролю доступу до об'єктів, що охороняються.

Коли прилади, пристрої та датчики фіксують появу на об'єкті порушника, що охороняється, за допомогою інших технічних засобів починається контроль і моніторинг його дій з метою припинення злочину.

Завдання, які стоять перед цією групою пристроїв, визначають наступним чином:

1. Постійно контролювати стан первинної інформації, що виходить від датчиків, та передавати її для своєчасного реагування. Ці системи повинні надійно живитися енергією та бути максимально працездатними.

2. Одночасно з проходженням інформації на пункт моніторингу про порушення та порушників вони повинні подавати сигнали тривоги: від дзвіночка до сирени.

3. Вони повинні виявляти місце порушення для того, щоб оператор організував адекватну протидію.

4. Вони повинні відрізняти порушників від тих, кому дозволено доступ на об'єкт, що охороняється.

5. Пристрої контролю та моніторингу повинні бути розміщені на території об'єкта, що охороняється.

Серед технічних засобів контролю та моніторингу слід перш за все визначити системи контролю доступуВони необхідні тому, що зловмисники не обмежують свою діяльність часом, коли на об'єкті немає персоналу і діють прилади виявлення несанкціонованого перебування на ньому. Буває й так, що злочинець вчиняє злочин у той час, коли на об'єкті працює персонал. Тому в організації охорони необхідно послідовно впроваджувати ключовий принцип стратегії забезпечення безпеки: «на об'єкті бути тому, хто має бути». Це означає, що присутність працюючих осіб, а тим більше сторонніх осіб у критичних місцях, з погляду безпеки, має жорстко контролюватись.

Забезпечення контролю доступу на об'єкт працюючих або сторонніх осіб може бути здійснено за допомогою таких засобів:

а) за допомогою механічних пристроїв обмеження доступу (замки тощо);

б) за допомогою спеціально навчених тварин (собаки, птахи тощо);

в) за допомогою технічних приладів;

г) за допомогою спеціалістів-охоронців.

Найбільш ефективними засобами контролю доступу є спеціально навчені тварини та спеціалісти-охоронці. Але вони є найдорожчими засобами.Менш дорогими є технічні засоби. Але в практичному аспекті слід комбінувати всі ці кошти, відшукуючи найдешевший і ефективніший варіант. Тому розглянемо технічні засоби контролю доступу на об'єкти, що охороняються. Сьогодні широко використовуються електронні засоби контролю доступу.

Усе електронні засобиконтролю доступу на об'єкти зазвичай відомі як системи автоматизованого контролю доступу і вони складаються з трьох основних елементів:

1. Елементи ідентифікації осіб, яким дозволено присутність на об'єкті, що охороняється. Це може бути, наприклад, картка, або спеціальний знак, що підтверджують дозвіл, сканування біометричних характеристик особи. Зрештою, це може бути інформація, яка надана особі про код або ідентифікаційний номер.

2. Пристрої, що виявляють елементи ідентифікації. Вони розміщуються на постах контролю доступу на об'єкт і здатні розпізнавати елементи ідентифікації осіб, яким дозволено доступ.

3. Пристрої, які здатні сприймати інформацію, оцінювати її та знімати, або ставити фізичні перешкоди на шляху особи. Це зазвичай комп'ютер разом з іншими фізичними пристроями.

Другий і третій елементи системи можуть об'єднуватися в одному пристрої, що робить її дешевшою. Електронні засоби контролю мають деякі переваги перед фахівцями та тваринами. Насамперед, це швидке блокування доступу, коли елементи ідентифікації особи не відповідають дозволу. Електронна системаздійснює облік працівників та відвідувачів, які перебували на об'єкті. Як перевагу вважається можливість дистанційної ідентифікації особи.

Ідентифікація осіб, які перебувають на об'єкті, відбувається за допомогою їх фізичних характеристик (відбитків пальців, голосу, сітківки ока тощо). Оскільки ці характеристики людини практично неповторні, контроль допуску за їх характеристиками є найбільш надійним і застосовується на дуже важливих і цінних об'єктах охорони. Але в процесі їх застосування треба пам'ятати, що, по-перше, це поки що дуже дорога техніка, і, по-друге, вона має низьку «продуктивність», тобто. пропускну спроможність. Біометричний метод вимагає не менше 30 секунд часу, щоб ідентифікувати людину та пропустити, або заблокувати її прохід.

Відповідно до елементів ідентифікації використовують і пристрої для читання інформації та прийняття рішення. Вони бувають безпосереднього контакту, якщо йдеться про картки Віганда та картки з магнітними стрічками, ідентифікаційні коди та біометричні та дистанційні методи.

У процесі конкретного вирішення питання щодо застосування технічних засобів контролю слід враховувати такі обставини:

а) допустимість застосування конкретної системи контролю доступу з урахуванням цінності об'єкта, що охороняється, максимальної кількостіосіб, яких треба ідентифікувати, а також швидкості обробки інформації та прийняття рішення системою та кількості пунктів контролю;

б) сумісність системи контролю з приміщеннями та обладнанням приміщень (двері, вікна тощо). Часто технічні пристрої суперечать приміщенням, їх архітектурою чи естетикою;

в) пропускну спроможність технічної системи;

г) адекватність вартості системи цінності об'єкта, що охороняється.